UNC6040およびUNC6395として追跡されている脅威グループは、データへのアクセスを得るために異なる手法を使用しています。
FBIは金曜日に、警告を発表し、2つのハッカーグループが恐喝およびデータ窃取を目的にSalesforceインスタンスを標的としていると伝えた。
FBIによると、UNC6040およびUNC6395として追跡されているこれらのグループは、初期アクセスを得るために異なる手法を用いた最近の攻撃で確認されている。この警告には、侵害の兆候や、セキュリティチームが標的にされたかどうかを判断し、今後の攻撃を防ぐための追加ガイダンスが含まれている。
UNC6040は、標的組織のSalesforceアカウントにアクセスするためにボイスフィッシングを利用している。このグループは2024年10月以降、カスタマーサポート担当者に従業員の認証情報を渡させるためのソーシャルエンジニアリング手法を用いていると、警告で述べられている。
Salesforceは以前、これらのソーシャルエンジニアリング攻撃について警告を3月に発表しており、Google Threat Intelligence Groupの研究者も6月にUNC6040について警告している。
FBIによると、一部の被害者はShinyHuntersを名乗るハッカーから恐喝要求を受けている。要求は、侵害から数日から数か月後に届いている。
UNC6395による攻撃は、Salesforceと連携したAIチャットボットであるSalesloft Driftの侵害されたOAuthトークンに依存していた。これらの攻撃を行ったハッカーは、被害者のSalesforceインスタンスを侵害した後にデータを窃取した。
8月下旬までに、各社はすべてのアクティブなアクセスを取り消し、トークンを更新したことで、ハッカーがSalesloft Drift経由でSalesforceプラットフォームにこれ以上アクセスするのを防いだとFBIは述べている。
このサプライチェーン攻撃は数百の組織に影響を与えた可能性があり、複数のセキュリティ企業が顧客への侵害の可能性を公表している。
セキュリティ研究者はCybersecurity Diveに対し、ShinyHunters、Scattered Spider、Lapsus$と関係があると主張する脅威グループが、ジャガー・ランドローバーや他の著名な標的へのハッキングを主張し、最近ダークウェブサイトを閉鎖したと述べている。
同社はハッカーがどのようにシステムへアクセスしたかについて公には説明していないが、脅威の申し立てについて調査していることは以前に認めている。
研究者らは、この動きは法執行機関の活動の活発化と関係している可能性があるとみているが、当局がハッカーのいずれかを逮捕したかどうかは不明である。専門家はまた、攻撃者が完全に活動を停止するのではなく、別の名前で再ブランド化する可能性が高いとも述べている。
JLRへの攻撃がFBIの警告で説明されている活動と関連しているかどうかは明らかではない。FBIはコメントの要請に応じなかった。
翻訳元: https://www.cybersecuritydive.com/news/fbi-warns-campaigns-salesforce-instances/760129/