出典: Piotr Swat via Shutterstock
財政的動機を持つ脅威グループのメンバーが、説得力のある電話でITサポートスタッフを装い、従業員に組織のSalesforce環境へのアクセスを許可させています。
過去数か月にわたり、Googleの脅威インテリジェンスグループがUNC6040として追跡しているこの脅威アクターは、この方法で複数の組織に侵入し、後に恐喝する目的でSalesforceプラットフォームから大量のデータを盗みました。被害者の多くは、大手多国籍企業の英語圏の支社に属しています。
ハック攻撃なし
“UNC6040の作戦で一般的な戦術は、被害者を騙して組織のSalesforceポータルに悪意のある接続アプリを承認させることです,” Googleは今週のブログで述べました。 “このアプリケーションは、SalesforceのData Loaderの改変版であることが多く、Salesforceによって承認されていません。”
Googleによれば、UNC6040のキャンペーンでのアプローチは驚くほどシンプルですが効果的です。 それは、脆弱性の悪用や他の技術的なトリックではなく、vishing(音声ベースのソーシャルエンジニアリング)に完全に依存しています。このような詐欺では、悪意のあるアクターが電話やボイスメッセージを使ってターゲットと直接やり取りし、資格情報や機密データを開示させたり、悪意のあるアプリを承認させたり、システムへのリモートアクセスを有効にさせるなどの危険な行動を取らせます。電話やメッセージの口実は様々で、CISAスタッフを装った電話や、銀行員、またはITサポートスタッフを装ったものがあります。
技術的には低レベルですが、音声フィッシングは非常に効果的であることが多く、複数の脅威グループが攻撃のプレイブックに取り入れています。
Googleが追跡しているUNC6040のキャンペーンでは、被害者は組織のIT部門からのサポート関連の口実で電話を受けることから始まります。通話中、脅威アクターは従業員にSalesforceインスタンスの接続アプリ設定ページにアクセスさせ、SalesforceのData Loaderアプリの悪意のあるバージョンを承認させます。これにより、被害者は無意識のうちに脅威アクターに組織のSalesforce環境にアクセスし、データをクエリし、流出させる能力を与えてしまいます。
Salesforce Data Loaderは、組織がSalesforceのレコードを一括でインポート、エクスポート、更新、または削除することを可能にするアプリで、コマンドラインオプションまたはユーザーインターフェースを介して使用できます。Salesforceは、以前に警告していますが、攻撃者がユーザーを騙してSalesforceインスタンスに悪意のあるData Loaderバージョンを追加させたり、資格情報やMFAトークンを盗むためにvishingを使用するケースが増えています。この傾向に対する懸念から、同社は3月にソーシャルエンジニアリングの脅威からSalesforce環境を保護するためのガイダンスを発行しました。
関連:Code RedからRustへ: Microsoftのセキュリティの旅
データアクセスと恐喝の間の遅れ
Googleは、UNC6040が組織のSalesforce環境にアクセスした直後にデータを流出させ始めることを観察しました。最初のデータ盗難の後、脅威アクターはしばしば被害者のネットワーク内を横断し、OktaやMicrosoft365などの他のプラットフォームにアクセスしようと試みました。
しかし、多くの場合、UNC6040は最初の侵害とデータ盗難の後、数か月待ってから被害者を恐喝しようとしています。つまり、一部の侵害された組織は、今後数か月で脅威アクターから連絡を受ける可能性があります。Googleは、この遅れをUNC6040が盗まれたデータへのアクセスを収益化する他のグループと提携している可能性が高いという兆候と解釈しました。”これらの恐喝の試みの間、アクターは有名なハッキンググループShinyHuntersと提携していると主張し、被害者に対する圧力を高める方法としている可能性があります,” とGoogleは述べました。
Valence SecurityのCEO、Yoni Shohetは、UNC6040のキャンペーンが成功しているのは、多くの組織がSaaSに関してまだ持っている大きな盲点を悪用しているからだと言います。”攻撃者は脆弱性を通じて侵入しているのではなく、従業員をソーシャルエンジニアリングしてアクセスを許可させたり、資格情報を提供させたりしています—多要素認証コードを含めて,” と彼は言います。”ほとんどのユーザーは、正当な“Salesforce Data Loader”と悪意のあるもの、または正当なITサポートスタッフと悪意のあるものの違いを見分けることができません。”
関連:数百のWebアプリがMicrosoft OneDriveファイルにフルアクセス
他の主要なSaaSプラットフォームも、組織がそれらを使用し管理する方法のために、攻撃者にとって魅力的なターゲットであり続けています、とShohetは言います。これらのアプリケーションは非常に複雑で、管理者やビジネスユーザーが誤って設定した場合、攻撃者が不正にアクセスして機密データを取得するために利用される可能性があります。”ほとんどの企業は、特にアクセスがSalesforceのような信頼できるプロバイダーにリンクされている場合、これらのツールを本質的に信頼しています。しかし、SaaS環境を保護する責任は最終的に顧客にあることが見落とされがちです。”
SalesforceとGoogleは、組織がこのような攻撃への露出を軽減するために取ることができるいくつかの対策を概説しています。推奨される対策には、特にData Loaderのようなツールに対して最小特権アクセスの原則を実施すること、Salesforceインスタンスへのアクセスを特定のログインIP範囲に制限すること、多要素認証を有効にすることが含まれます。
Salesforceの広報担当者は、vishingキャンペーンがその技術の脆弱性の結果ではないことを指摘しました。”音声フィッシングのような攻撃は、個々のユーザーのサイバーセキュリティ意識とベストプラクティスのギャップを悪用するために設計されたターゲット型のソーシャルエンジニアリング詐欺です,” と広報担当者はメールで述べました。”Salesforceは、プラットフォームのあらゆる部分にエンタープライズグレードのセキュリティを組み込んでおり、記述された問題が当社のサービスに固有の脆弱性に起因するという兆候はありません。”
翻訳元: https://www.darkreading.com/application-security/vishing-crew-targets-salesforce-data