Google脅威インテリジェンスグループは、今月初めの10日間にわたり数百のSalesforce顧客が侵害された「広範なデータ窃取キャンペーン」について警告しました。
火曜日に公開されたレポートによると、GoogleがUNC6395として追跡している脅威グループが、営業やリード獲得用のサードパーティAIチャットエージェント「Salesloft Drift」から盗まれたOAuthトークンを利用し、Salesforce顧客インスタンスから大量のデータを盗み出したと研究者は述べています。Googleによれば、この攻撃は少なくとも8月8日から8月18日まで発生していました。
「GTIGは700を超える潜在的に影響を受けた組織を把握しています」とGTIGの主任脅威アナリスト、オースティン・ラーセン氏はCyberScoopに語りました。「攻撃者はPythonツールを使用して、標的となった各組織のデータ窃取プロセスを自動化しました。」
Googleによると、攻撃者は主に初期被害者と接続された他のシステムを侵害するための認証情報の窃取を狙っていました。UNC6395は特に、Amazon Web Servicesのアクセスキー、仮想プライベートネットワークの認証情報、Snowflakeの認証情報を探していました。
「Salesloftから盗まれた1つのトークンを使って、攻撃者はDriftにリンクされたあらゆる組織のトークンにアクセスできました。攻撃者はその後、Salesforceのトークンを使って直接データにアクセスし、それをサーバーに流出させ、AmazonやSnowflake、その他のパスワードを含む平文の認証情報を探していました」とGTIGの主任脅威アナリスト、タイラー・マクレラン氏は述べています。
Googleのインシデント対応会社であるMandiant Consultingは、現在の調査において盗まれた認証情報のさらなる使用は確認していないと述べています。
Salesloftは月曜日のセキュリティアップデートで侵害を認め、影響を受けたすべての顧客に通知したと発表しました。同社は8月19日に、Salesforceと連携したSalesloft Driftアプリケーションを標的とした悪意のある活動について最初の警告を出していました。
Salesloftは、Salesforceと協力してアプリケーションのすべての有効なアクセスおよびリフレッシュトークンを無効化し、影響はSalesforceと連携している顧客に限定されると主張しています。Googleによれば、SalesloftとSalesforceが8月20日にアクセスを無効化したことで攻撃は停止しました。
Salesforceは火曜日の声明で、「少数の顧客」が影響を受けたと述べ、「この問題はSalesforceプラットフォーム本体の脆弱性によるものではなく、アプリの接続の侵害によるものです」と付け加えました。
Googleは、Salesforceと連携しているSalesloft Driftの顧客に対し、自社のデータが侵害されたと見なし、Salesforceインスタンス内のシークレットを検索し、APIキーの無効化、認証情報のローテーション、さらなる調査による対応を推奨しています。
GoogleはUNC6395の出自や動機をまだ特定していません。攻撃の連続は「広範かつ機会的であり、Salesforceと連携したSalesloft Driftを利用するあらゆる組織を狙ったように見える」とマクレラン氏は述べています。
AppOmniのCSO、コリー・ミカル氏は、OAuthトークンやクラウド間連携の侵害・悪用は多くの企業で長年知られている盲点だとしながらも、攻撃の規模と組織力の高さには驚かされると述べています。
「攻撃者は多くの環境でデータを組織的にクエリし、エクスポートしていました」とミカル氏は付け加えました。「彼らは高度な運用規律を示し、構造化されたクエリを実行し、認証情報を特定して検索し、さらにはジョブを削除して痕跡を隠そうとさえしていました。規模、集中力、技術力の組み合わせがこのキャンペーンを際立たせています。」
翻訳元: https://cyberscoop.com/salesforce-salesloft-drift-attack-spree-google/