FBI、UNC6040およびUNC6395によるSalesforceプラットフォームを標的としたデータ窃取攻撃に警告

米連邦捜査局（FBI）は、UNC6040およびUNC6395として追跡されている2つのサイバー犯罪グループに関連する侵害の兆候（IoC）を公開するフラッシュアラートを発出しました。これらのグループは一連のデータ窃取および恐喝攻撃を行っています。

「両グループは最近、異なる初期アクセス手法を用いて組織のSalesforceプラットフォームを標的にしていることが確認されています」とFBIは述べています。

UNC6395は、Salesloft Driftアプリケーションの侵害されたOAuthトークンを悪用し、2025年8月にSalesforceインスタンスを標的とした大規模なデータ窃取キャンペーンを行った脅威グループです。今週発表されたアップデートによると、SalesloftのGitHubアカウントが2025年3月から6月にかけて侵害されたことが、この攻撃を可能にしたとされています。

この侵害の結果、SalesloftはDriftインフラストラクチャを隔離し、AIチャットボットアプリケーションをオフラインにしました。同社はまた、新たな多要素認証プロセスやGitHubの強化策を導入中であると述べています。

「私たちはDriftアプリケーション環境の継続的な強化に注力しています」と同社は述べています。「このプロセスには認証情報のローテーション、一時的なDriftアプリケーションの一部機能の無効化、セキュリティ設定の強化が含まれます。」「現時点では、すべてのDrift顧客に対し、Driftの統合および関連データをすべて潜在的に侵害されたものとして扱うよう勧告しています。」

FBIが注目を促している2つ目のグループはUNC6040です。2024年10月から活動しているとされるUNC6040は、Googleによって命名された金銭目的の脅威クラスターで、初期アクセスを得るためのビッシングキャンペーンを行い、Salesforceインスタンスを乗っ取って大規模なデータ窃取や恐喝を行っています。

これらの攻撃では、改変されたSalesforceのData LoaderアプリケーションやカスタムPythonスクリプトが使用され、被害者のSalesforceポータルに侵入し、貴重なデータが流出しました。少なくとも一部の事例では、UNC6040の侵入後に恐喝活動が行われており、初期のデータ窃取から数か月後に発生しています。

「UNC6040の脅威アクターはフィッシングパネルを利用し、被害者に対しソーシャルエンジニアリングの電話中に携帯電話や業務用コンピュータからアクセスするよう誘導していました」とFBIは述べています。「アクセス取得後、UNC6040の脅威アクターはAPIクエリを利用して大量のデータを一括で流出させていました。」

恐喝フェーズはGoogleによってUNC6240として追跡される別の未分類クラスターに帰属されており、このグループは被害組織の従業員へのメールや電話で一貫してShinyHuntersグループを名乗っています。

「さらに、ShinyHuntersブランドを使用する脅威アクターが、データリークサイト（DLS）を立ち上げることで恐喝戦術をエスカレートさせる準備をしている可能性があると考えています」とGoogleは先月指摘しました。「これらの新たな戦術は、最近のUNC6040によるSalesforce関連データ侵害を含む被害者への圧力を高めることを意図していると考えられます。」

その後、さまざまな動きがあり、特に注目すべきはShinyHunters、Scattered Spider、LAPSUS$が協力し、犯罪活動を統合・強化したことです。そして2025年9月12日、このグループはTelegramチャンネル「scattered LAPSUS$ hunters 4.0」で活動終了を宣言しました。

「私たちLAPSUS$、Trihash、Yurosh、Yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Clown、IntelBroker、Scattered Spider、Yukari、その他多くは、活動を停止し、姿を消すことを決断しました」とグループは述べています。「目的は達成されたので、今こそ別れの時です。」

グループが活動を停止した理由は現時点では明らかではありませんが、捜査当局のさらなる注目を避けるための措置である可能性もあります。

「新たに結成されたscattered LAPSUS$ hunters 4.0グループは、フランスの法執行機関がサイバー犯罪グループに関連して別の無関係な人物を逮捕したと主張した後、活動停止と“姿を消す”ことを発表しました」とUnit 42 Consulting and Threat Intelligenceのシニアバイスプレジデント、Sam Rubin氏はThe Hacker Newsに語りました。「このような宣言が本当の引退を意味することはほとんどありません。」

「最近の逮捕がグループを一時的に沈静化させた可能性はありますが、過去の事例から見てもこれは一時的なものです。このようなグループは分裂し、リブランドし、再登場します――ShinyHuntersのように。たとえ公の活動が一時停止しても、リスクは残ります。盗まれたデータが再び出回ることもあれば、検知されていないバックドアが残ることもあり、アクターが新たな名前で再出現することもあります。脅威グループの沈黙は安全を意味しません。組織は警戒を怠らず、脅威が消えたのではなく、適応しただけだと考えて行動すべきです。」