FBIは、UNC6040およびUNC6395として追跡されている2つの脅威グループが、組織のSalesforce環境を侵害し、データを窃取して被害者を恐喝しているとして、FLASHアラートを発出しました。
「連邦捜査局(FBI)は、サイバー犯罪グループUNC6040およびUNC6395による最近の悪意あるサイバー活動に関連する侵害の指標(IOC)を広く共有するため、本FLASHを発表します。これらのグループは、データ窃取および恐喝による侵入の増加に関与しています」とFBIのFLASH勧告には記載されています。
「両グループは最近、異なる初期アクセス手法を用いて、組織のSalesforceプラットフォームを標的にしていることが確認されています。FBIはこの情報を公開し、受信者が調査やネットワーク防御に活用できるIOCを提供します。」
UNC6040は、Google Threat Intelligence(Mandiant)によって6月に初めて公表され、2024年後半以降、脅威アクターがソーシャルエンジニアリングやビッシング攻撃を用いて、従業員を騙し、悪意あるSalesforce Data Loader OAuthアプリを自社のSalesforceアカウントに接続させていたと警告しました。
一部のケースでは、脅威アクターは企業のITサポート担当者になりすまし、「My Ticket Portal」と呼ばれるリネームされたアプリケーションを使用していました。
一度接続されると、脅威アクターはOAuthアプリケーションを使って企業のSalesforceデータを大量に流出させ、その後ShinyHunters恐喝グループが恐喝に利用しました。
これら初期のデータ窃取攻撃では、ShinyHuntersはBleepingComputerに対し、主に企業の顧客情報を保存する「Accounts」および「Contacts」データベーステーブルを標的にしたと語りました。
これらのデータ窃取攻撃は広範囲に及び、Google、Adidas、Qantas、Allianz Life、Cisco、Kering、Louis Vuitton、Dior、Tiffany & Co.などの大手有名企業に影響を与えました。
8月の後期データ窃取攻撃では、Salesforceの顧客が再び標的となりましたが、今回は盗まれたSalesloft DriftのOAuthおよびリフレッシュトークンを利用して顧客のSalesforceインスタンスに侵入しました。
この活動はUNC6395として追跡されており、8月8日から18日の間に発生したと考えられています。脅威アクターはこれらのトークンを使い、Salesforceに保存されていた企業のサポートケース情報を標的にしました。
流出したデータは分析され、サポートケース内で共有されたシークレット、認証情報、認証トークン(AWSキー、パスワード、Snowflakeトークンなど)が抽出されました。これらの認証情報は、他のクラウド環境への横展開や追加のデータ窃取に利用される可能性があります。
SalesloftはSalesforceと協力し、すべてのDriftトークンを無効化し、顧客にプラットフォームへの再認証を求めました。
その後、脅威アクターがDrift Emailトークンも盗み、少数のGoogle Workspaceアカウントのメールにアクセスしていたことが明らかになりました。
Mandiantによる調査で、この攻撃は3月にSalesloftのGitHubリポジトリが侵害されたことに端を発し、攻撃者が最終的にDrift OAuthトークンを盗むことを可能にしたと判明しました。
前回の攻撃と同様、これら新たなSalesloft Driftデータ窃取攻撃も多数の企業に影響を与え、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks、その他多数が被害を受けました。
FBIはこれらのキャンペーンの背後にいるグループ名を明かしていませんが、BleepingComputerはShinyHunters恐喝グループから、「Scattered Lapsus$ Hunters」と名乗る他の脅威アクターと共に、両方の活動クラスターの背後にいると伝えられました。
このハッカーグループは、Lapsus$、Scattered Spider、ShinyHunters恐喝グループと起源やメンバーが重複していると主張しています。
木曜日、脅威アクターはBreachForumsに関連するドメインを通じて、「闇に潜る(go dark)」こと、そしてTelegramでの作戦に関する議論を停止する計画を発表しました。
しかし、別れの投稿で、ハッカーたちはFBIのE-Check身元調査システムやGoogleの法執行機関リクエストシステムへのアクセスを得たと主張し、証拠としてスクリーンショットを公開しました。
もしこれが事実であれば、彼らは法執行機関になりすまし、個人の機微な記録を取得できることになります。
BleepingComputerが問い合わせたところ、FBIはコメントを拒否し、Googleからは返答がありませんでした。
