FBIは、Salesforceの顧客を標的としたデータ窃取および恐喝を目的とする2つの悪意あるキャンペーンに関連する侵害の指標(IoC)を共有しました。
最初のキャンペーンは、UNC6040として追跡されている脅威アクターに起因し、数か月にわたり継続しています。これは、ボイスフィッシング(ビッシング)を利用して、被害組織の従業員を騙し、Salesforceインスタンスへのアクセス権を与えさせたり、ポータルの認証情報を共有させたりします。
場合によっては、攻撃者が従業員を誘導し、改変されたSalesforce Data Loaderアプリケーションのバリアントを承認させ、それによってSalesforceインスタンスに保存されたデータへのアクセス権を得ることがあります。
「UNC6040の脅威アクターは、フィッシングパネルを利用し、被害者にソーシャルエンジニアリングの電話中に携帯電話や業務用コンピュータからアクセスさせています。アクセスを取得した後、UNC6040の脅威アクターはAPIクエリを使用して大量のデータを一括で流出させています」とFBIは警告(PDF)で述べています。
データを盗んだ後、サイバー犯罪者は被害組織に対して恐喝要求を送り、暗号通貨で身代金を支払わなければ情報を公開すると脅迫します。
Salesforceはこの種の攻撃について3月に警告しており、その約3か月後にGoogleが、一部のケースでUNC6040がMicrosoft 365、Okta、Workplaceなど他のプラットフォームへ横展開していることを確認したと述べています。
UNC6040は、悪名高いShinyHunters恐喝グループとの関係を主張しており、Scattered Spiderハッカーとも関連しているようです。
FBIが警告する2つ目の悪意ある作戦は、最近広範囲に発生したSalesforce-Salesloftデータ窃取キャンペーンで、Drift AIチャットボットとの連携を通じて700以上の組織が被害を受けており、UNC6395として追跡されている脅威アクターに起因しています。
広告。スクロールして続きを読む。
この攻撃の一環として、ハッカーはDriftの不正に取得されたOAuthトークンを利用してSalesforceインスタンスにアクセスし、大量のデータを窃取しました。ハッカーはDriftのAWSインスタンスからトークンを流出させており、2025年3月から6月の間にSalesloftのGitHubアカウントにアクセスしていました。
この攻撃に関連して、十数社以上のサイバーセキュリティ企業がデータ侵害を公表しており、HackerOneやQualysが最近その影響を確認しています。
これらのキャンペーンに関連するIoCの公開に加え、FBIは組織に対し、フィッシング耐性のある多要素認証(MFA)の導入、コールセンターへのフィッシング教育、認証・認可・アカウンティング(AAA)システムの実装、IPベースのアクセス制限の徹底、ログの監視、サードパーティ連携の見直しを推奨しています。
「FBIは、組織がブロックなどの対応を取る前に、指標を調査・精査することを推奨します」と同庁は述べています。
関連記事: 米政府、トランプ大統領首席補佐官スージー・ワイルズを装ったメッセージを調査中
関連記事: ウェストバージニア信用組合、2023年のデータ侵害で影響を受けた18万7千人に通知
翻訳元: https://www.securityweek.com/fbi-shares-iocs-for-recent-salesforce-intrusion-campaigns/