Googleは火曜日、自社のSalesforceインスタンスの1つが脅威アクターによって標的にされたことを明らかにしました。この攻撃は、複数の大手企業を襲ったキャンペーンの一部であるようです。
このテクノロジー大手によると、同社のSalesforceインスタンスは6月に標的となり、UNC6040として追跡されている脅威グループによる活動であるとしています。
Googleは、ハッカーが侵害された環境から中小企業の連絡先情報や関連メモを取得したと述べています。
「分析の結果、脅威アクターがアクセスを遮断されるまでの短い時間枠の間にデータを取得していたことが判明しました」とGoogleは説明しています。「脅威アクターによって取得されたデータは、主に基本的かつ広く公開されているビジネス情報、例えば企業名や連絡先などに限定されていました。」
Googleは6月初旬、UNC6040という音声フィッシングを専門とする脅威アクターが、Salesforceの顧客を対象に大規模なデータ窃取および恐喝キャンペーンを行っていたと警告していました。
当時Googleは、悪名高いサイバー犯罪グループScattered SpiderおよびShinyHuntersとの関連性も発見したと報告しています。自社のSalesforceインスタンスへの攻撃については、UNC6040の攻撃を説明するブログ記事の更新で公表され、同社は現在、ShinyHuntersとの明らかな関連性を改めて強調しています。
このテクノロジー大手によると、UNC6040が最初の侵入を担い、別の活動クラスターであるUNC6240が恐喝行為を担当しており、恐喝は初期のデータ窃取から数か月後に始まる場合もあるとのことです。
「恐喝は、被害組織の従業員に対して、72時間以内のビットコインによる支払いを要求する電話やメールを通じて行われます。これらのやり取りの中で、UNC6240は一貫して自らをShinyHuntersと名乗っています」とGoogleは述べています。
広告。スクロールして続きをお読みください。
「さらに、『ShinyHunters』のブランドを用いる脅威アクターが、データ漏洩サイト(DLS)を立ち上げることで恐喝手法をエスカレートさせる準備をしている可能性があると考えています。これらの新たな手法は、最近のUNC6040によるSalesforce関連のデータ侵害を含む被害者への圧力を高めることを意図しているとみられます」と付け加えました。
Bleeping Computerは、ShinyHuntersからの情報に基づき、最近Adidas、Allianz Life、Cisco、Dior、Louis Vuittonなどで公表されたデータ侵害が、同じSalesforceハッキングキャンペーンによるものであると報じました。
宝飾店Pandoraも今週データ侵害を公表しており、同じキャンペーンの標的となったと報じられています。
Salesforceは、自社システムが侵害されたわけではなく、攻撃はプラットフォームの脆弱性を悪用したものではないと指摘しています。同社は、最近の攻撃はSophisticatedなフィッシングやその他のソーシャルエンジニアリング攻撃によって顧客が標的にされた結果であると示唆しています。
DataBreachesは最近、ShinyHuntersがScattered Spiderと合併したようだと報じています。
ShinyHuntersおよびScattered Spiderの両グループの複数の疑わしいメンバーが、過去1年間に逮捕されています。
翻訳元: https://www.securityweek.com/google-discloses-salesforce-hack/