ShinyHuntersという恐喝グループは、侵害されたSalesloft DriftのOAuthトークンを使用して、760社から15億件以上のSalesforceレコードを盗んだと主張しています。
過去1年間、これらの脅威アクターはソーシャルエンジニアリングや悪意のあるOAuthアプリケーションを利用してSalesforceの顧客を標的にし、データ窃取攻撃を行い、Salesforceインスタンスに侵入してデータをダウンロードしてきました。盗まれたデータは、企業に対して公開流出を防ぐための身代金支払いを強要するために利用されます。
これらの攻撃は、ShinyHunters、Scattered Spider、Lapsus$という恐喝グループの一員であると主張する脅威アクターによって行われており、現在は「Scattered Lapsus$ Hunters」と名乗っています。Googleはこの活動をUNC6040およびUNC6395として追跡しています。
3月には、脅威アクターの1人がSalesloftのGitHubリポジトリに侵入し、同社の非公開ソースコードを入手しました。
ShinyHuntersはBleepingComputerに対し、脅威アクターがTruffleHogというセキュリティツールを使ってソースコード内のシークレットをスキャンし、その結果、Salesloft DriftおよびDrift EmailプラットフォームのOAuthトークンを発見したと語りました。
Salesloft Driftは、Drift AIチャットエージェントとSalesforceインスタンスを接続するサードパーティプラットフォームで、組織が会話、リード、サポートケースをCRMに同期することができます。Drift Emailは、メールの返信管理やCRM・マーケティングオートメーションのデータベース整理に使用されます。
これらの盗まれたDrift OAuthトークンを使い、ShinyHuntersはBleepingComputerに対し、脅威アクターが「Account」、「Contact」、「Case」、「Opportunity」、「User」といったSalesforceオブジェクトテーブルから、760社分・約15億件のデータレコードを盗んだと語りました。
これらのレコードのうち、約2億5,000万件がAccount、5億7,900万件がContact、1億7,100万件がOpportunity、6,000万件がUser、そして約4億5,900万件がCaseテーブルからのものでした。
Caseテーブルには、これらの企業の顧客が提出したサポートチケットの情報やテキストが保存されており、テック企業の場合は機密データが含まれる可能性があります。
攻撃の証拠として、脅威アクターは侵害されたSalesloft GitHubリポジトリ内のソースコードフォルダ一覧を記載したテキストファイルを共有しました。
BleepingComputerは、これらのレコード数や影響を受けた企業数についてSalesloftに問い合わせましたが、メールへの回答は得られませんでした。しかし、ある情報筋がこれらの数字が正確であることを確認しました。
Google Threat Intelligence(Mandiant)は、盗まれたCaseデータが、認証情報や認証トークン、アクセスキーなどの隠されたシークレットを分析するために利用され、攻撃者が他の環境へ攻撃を拡大するために使われたと報告しています。
「データが流出した後、攻撃者は被害者環境を侵害するために利用可能なシークレットを探してデータを検索しました」とGoogleは説明しています。
「GTIGは、UNC6395がAmazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機密認証情報を標的にしていることを観測しました。」
盗まれたDriftおよびDrift Emailトークンは、Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks、その他多数を含む大手企業を襲った大規模なデータ窃取キャンペーンに利用されました。
これらの攻撃の膨大な規模を受けて、FBIは最近、UNC6040およびUNC6395の脅威アクターに関する注意喚起を発表し、攻撃中に発見されたIOC(インジケータ・オブ・コンプロマイズ)を共有しました。
先週木曜日、Scattered Spiderの一員を名乗る脅威アクターは、Telegram上で作戦についての発言をやめ、「闇に消える」予定だと述べました。
別れの投稿で、脅威アクターはGoogleの法執行機関リクエストシステム(LERS)と、身元調査に使われるFBIのeCheckプラットフォームに侵入したと主張しました。
Googleにこれらの主張について問い合わせたところ、同社はLERSプラットフォームに不正なアカウントが追加されたことを確認しました。
「法執行機関向けリクエスト用システムに不正なアカウントが作成されたことを特定し、そのアカウントを無効化しました」とGoogleはBleepingComputerに語りました。
「この不正アカウントによるリクエストは行われておらず、データへのアクセスもありませんでした。」
脅威アクターは引退を示唆していますが、ReliaQuestの研究者によると、脅威アクターは2025年7月から金融機関を標的にし始めており、今後も攻撃を継続する可能性が高いと報告しています。
これらのデータ窃取攻撃から身を守るために、Salesforceは、多要素認証(MFA)の有効化、最小権限の原則の徹底、接続アプリケーションの慎重な管理など、セキュリティのベストプラクティスを顧客に推奨しています。
