サイバーセキュリティ企業のCloudflare、Palo Alto Networks、Zscalerは火曜日、先週明らかになったSalesforce-Salesloft Driftデータ窃取キャンペーンの一環として、自社のSalesforceインスタンスがハッキングされたことを確認しました。
8月8日から8月18日の間、ハッカーはサードパーティAIチャットボットであるSalesloft Driftの侵害されたOAuthトークンを使用し、数百の組織のSalesforceインスタンスから大量のデータをエクスポートしました。
このキャンペーンはGoogleによってUNC6395、CloudflareによってGRUB1として追跡されている脅威アクターによるもので、AWSアクセスキーやパスワード、Snowflake関連のアクセストークンなど、認証情報やその他の機密情報の抽出を目的としていました。
このキャンペーンは8月26日に公開され、SalesforceはSalesloftとのすべての連携を無効化しました。SalesloftはDriftをオフラインにして見直しと耐性強化を行っています。
当初の報告では、Drift-Salesforce連携を利用していた組織のみが影響を受けたとされていましたが、GoogleのThreat Intelligence Group(GTIG)は8月28日、Google Workspaceの顧客も影響を受けたことを明らかにしました。
火曜日、Cloudflare、Palo Alto Networks、Zscalerは、自社がこのキャンペーンの一環としてSalesforceインスタンスをハッキングされた数百の組織の一つであることを確認しました。
「Palo Alto Networksは、Salesloft Driftアプリケーションを標的とした広範なサプライチェーン攻撃によりSalesforceデータが漏洩し、影響を受けた数百の顧客の一つであることを確認します。当社は迅速にインシデントを封じ込め、Salesforce環境からこのアプリケーションを無効化しました」と同社はSecurityWeekに語りました。
「攻撃者は主にビジネス連絡先や関連アカウント情報、内部の営業アカウント記録、基本的なケースデータを抽出しました。影響を受けたお客様には直接通知するプロセスを進めています」と同社は述べています。
広告。スクロールして続きを読む。
攻撃に関する詳細なレポートで、Cloudflareはハッカーが顧客の連絡先情報や基本的なサポートケースデータを流出させたと述べており、これには顧客の設定やログ、トークン、パスワードなどの機密情報が含まれる可能性があります。
「このインシデントへの対応の一環として、当社は流出したデータ内でトークンやパスワードを独自に調査し、104件のCloudflare APIトークンを発見しました。これらのトークンに関連する不審な活動は確認されていませんが、念のためすべてローテーションしました」とCloudflareは述べています。
この攻撃の調査により、ハッカーがSalesloft連携の認証情報を使ってSalesforceインスタンスにアクセスし、数日間にわたり偵察のためのクエリを実行し、8月17日にはSalesforce Bulk API 2.0ジョブを起動して、約3分でデータベースを流出させたことが判明しました。
Zscalerは、自社のSalesforceインスタンスから盗まれた顧客情報には、氏名、ビジネス用メールアドレス、電話番号、役職、所在地の詳細、ライセンス情報、特定のサポートケースの平文コンテンツが含まれると述べています。
「このインシデントは孤立したものではなく、脅威アクターは将来の攻撃のために認証情報や顧客情報を収集する意図があったと考えています。今回のDrift侵害で数百の組織が影響を受けたことから、脅威アクターがこの情報を使って影響を受けた組織の顧客に対して標的型攻撃を仕掛けると疑っています」とCloudflareは述べています。
関連記事: Workdayのデータ侵害、広範なSalesforceハックの兆候
関連記事: ハッカー、初のAI武装サプライチェーン攻撃で人気のNxビルドシステムを標的に
翻訳元: https://www.securityweek.com/security-firms-hit-by-salesforce-salesloft-drift-breach/