出典: Piotr Swat via Shutterstock
財政的動機を持つ脅威グループのメンバーが、ITサポートスタッフになりすまして説得力のある電話をかけ、従業員に自社のSalesforce環境へのアクセスを許可させています。
過去数か月にわたり、Googleの脅威インテリジェンスグループがUNC6040として追跡しているこの脅威アクターは、この方法で複数の組織に侵入し、後に恐喝する目的でSalesforceプラットフォーム内から大量のデータを盗みました。被害者の多くは、大手多国籍企業の英語圏の支社内にいました。
ハック攻撃なし
「UNC6040の作戦における一般的な戦術は、被害者を騙して悪意のある接続アプリを自社のSalesforceポータルに承認させることです」とGoogleは今週のブログ投稿で述べています。「このアプリケーションは、Salesforceによって承認されていない、SalesforceのData Loaderの改変版であることが多いです。」
Googleによれば、UNC6040のキャンペーンにおけるアプローチはシンプルですが効果的です。それは、脆弱性の悪用や他の技術的トリックに頼るのではなく、完全にvishing(音声ベースのソーシャルエンジニアリング)に依存しています。このような詐欺では、悪意のあるアクターが電話やボイスメッセージを使用してターゲットと直接やり取りし、資格情報や機密データの開示、悪意のあるアプリの承認、システムへのリモートアクセスの有効化などの危険な行動を取らせるように説得します。電話やメッセージの口実は、CISAスタッフになりすます、銀行員、またはITサポートスタッフなど、さまざまです。
低技術的ではありますが、音声フィッシングは非常に効果的であることが証明されており、複数の脅威グループが攻撃プレイブックに組み込んでいます。
Googleが追跡しているUNC6040のキャンペーンでは、被害者が自社のIT部門からのサポート関連の口実で電話を受け取ることから詐欺が始まります。通話中、脅威アクターは従業員にSalesforceインスタンスの接続アプリ設定ページにアクセスし、SalesforceのData Loaderアプリの悪意のあるバージョンを承認するよう促します。これにより、被害者は知らず知らずのうちに、脅威アクターに対して組織のSalesforce環境にアクセスし、クエリを実行し、データを抽出する能力を与えてしまいます。
Salesforce Data Loaderは、組織がSalesforceのレコードをコマンドラインオプションまたはユーザーインターフェースを使用して一括でインポート、エクスポート、更新、削除することを可能にするアプリです。Salesforceは以前、攻撃者がユーザーを騙してSalesforceインスタンスに悪意のあるData Loaderのバージョンを追加させたり、vishingを使用してSalesforceアカウントの資格情報や多要素認証(MFA)トークンを盗んだりする事例が増えていると警告しました。この傾向に対する懸念から、同社は3月にソーシャルエンジニアリングの脅威からSalesforce環境を保護するためのガイダンスを発行しました。
関連記事:Code RedからRustへ: Microsoftのセキュリティの旅
データアクセスと恐喝の間の遅れ
Googleは、UNC6040が組織のSalesforce環境へのアクセスを獲得した直後にデータを抽出し始めることを観察しています。初期のデータ窃盗の後、脅威アクターはしばしば被害者のネットワーク内を横断し、OktaやMicrosoft365などの他のプラットフォームにアクセスしようと試みました。
しかし、多くの場合、UNC6040は初期の侵害とデータ窃盗の後、数か月待ってから被害者を恐喝するため、侵害された組織の中には今後数か月で脅威アクターから連絡を受ける可能性が高いです。Googleは、この遅延をUNC6040が盗まれたデータへのアクセスを収益化する他のグループと提携している可能性が高いと解釈しました。「これらの恐喝の試みの間、アクターは有名なハッキンググループShinyHuntersと提携していると主張し、被害者への圧力を高める手段としている可能性があります」とGoogleは述べています。
Valence SecurityのCEO、Yoni Shohet氏は、UNC6040のキャンペーンが成功しているのは、多くの組織がソフトウェア・アズ・ア・サービス(SaaS)に関してまだ大きな盲点を持っているからだと言います。「攻撃者は脆弱性を通じて侵入しているのではなく、従業員をソーシャルエンジニアリングしてアクセスを許可させたり、資格情報を提供させたりしています。多くのユーザーは正当な’Salesforce Data Loader’と悪意のあるもの、または正当なITサポートスタッフと悪意のあるものの違いを見分けることができません。」
関連記事:数百のWebアプリがMicrosoft OneDriveファイルに完全アクセス
他の主要なSaaSプラットフォームも、組織がそれらを使用および管理する方法のために攻撃者にとって魅力的なターゲットであり続けていますとShohet氏は述べています。これらのアプリケーションは非常に複雑で、多くの設定が含まれており、管理者またはビジネスユーザーによって誤設定されると、攻撃者が不正にアクセスして機密データを取得するために利用される可能性があります。「ほとんどの企業は、特にSalesforceのような信頼できるプロバイダーにリンクされている場合、これらのツールを本質的に信頼しています。しかし、SaaS環境を保護する責任が最終的に顧客にあることが見過ごされがちです。」
SalesforceとGoogleは、このような攻撃への露出を軽減するために組織が取ることができるいくつかの対策を示しています。推奨される対策には、特にData Loaderなどのツールに対して最小特権アクセスの原則を実施すること、Salesforceインスタンスへのアクセスを特定のログインIP範囲に制限すること、MFAを有効にすることが含まれます。
翻訳元: https://www.darkreading.com/application-security/vishing-crew-salesforce-data