Googleは現在、Salesloft Driftの侵害が当初考えられていたよりも大規模であると報告しており、攻撃者が盗まれたOAuthトークンを使用してSalesforceインスタンスからデータを盗むだけでなく、ごく少数のGoogle Workspaceメールアカウントにもアクセスしたと警告しています。
「GTIGによって特定された新たな情報に基づき、この侵害の範囲はSalesloft DriftとSalesforceの統合に限定されず、他の統合にも影響を及ぼしています」とGoogleは警告しています。
「現在、すべてのSalesloft Driftの顧客に対し、Driftプラットフォームに保存または接続されているすべての認証トークンを潜在的に侵害されたものとして扱うよう推奨します。」
Google Threat Intelligence(Mandiant)によってUNC6395として追跡されているこのキャンペーンは、攻撃者がSalesloftのDrift AIチャットとSalesforceの統合用OAuthトークンを盗んだ後、8月26日に初めて公表されました。脅威アクターはこれらのトークンを利用して顧客のSalesforceインスタンスにアクセスし、Cases、Accounts、Users、OpportunitiesテーブルなどのSalesforceオブジェクトに対してクエリを実行しました。
このデータにより、攻撃者は顧客サポートチケットやメッセージをスキャンし、AWSアクセスキー、Snowflakeトークン、パスワードなど、さらなるクラウドアカウント侵害や将来的な恐喝に利用できる機密情報を取得できました。
本日公開された最新情報で、Googleはこの侵害が当初考えられていたよりも重大であり、Salesforceの統合に限定されないことを確認しました。
調査により、「Drift Email」統合用のOAuthトークンも侵害されていたことが判明し、8月9日に脅威アクターがこれらを利用して、Driftと直接統合されていた「ごく少数」のGoogle Workspaceアカウントのメールにアクセスしていたことが分かりました。
Googleは、これらのドメイン内の他のアカウントには影響がなく、Google WorkspaceやAlphabet自体が侵害された事実はないと強調しています。
盗まれたトークンはすでに無効化され、顧客には通知済みです。Googleはまた、調査の間、Salesloft Drift EmailとGoogle Workspaceの統合を無効化しました。
Googleは現在、Driftを利用しているすべての組織に対し、プラットフォームに保存または接続されているすべての認証トークンを侵害されたものとして扱うよう強く促しています。この警告は、顧客に対し、これらのアプリケーションの認証情報を無効化・再発行し、すべての接続されたシステムに不正アクセスの兆候がないか調査するよう勧めるものです。
また、同社はDriftインスタンスに関連するすべてのサードパーティ統合を見直し、漏洩したシークレットを探し、発見された認証情報は侵害されている可能性があるためリセットすることを推奨しています。
Salesloftも8月28日にアドバイザリを更新し、調査が完了するまでSalesforce、Slack、PardotとのDrift統合が無効化されたことを発表しました。
同社は現在、この調査を支援するためMandiantおよびCoalitionと連携しています。
