TokyoBlackHatNews

theregister.com 4分で読了

ShinyHunters「Salesforceが全く好きではない」と主張、クルーは3か月前にGainsightへアクセスしたと主張

独占 ShinyHuntersは、Gainsightの侵害に関与したと主張し、このデータ窃盗犯たちはさらに数百のSalesforce顧客からデータを盗み出したとしています。

The Registerに送られたメッセージで、恐喝グループのメンバーは、今年初めのSalesloft Driftハッキングの際にGainsightへアクセスしたと述べました。「私たちはほぼ3か月間、Gainsightにアクセスしていました。」

「Salesloft Driftの侵害で得たデータが、多くのシステムへの侵入口となりました。非常に利益の大きいシステムです」と、Shinyを名乗るサイバーギャングのメンバーはThe Registerに語りました。「私はSalesforceが全く好きではありません。彼らが偉そうにするのをやめて、この混乱を解決するために支払ってくれればいいのにと思います。」

GainsightはThe Registerの問い合わせに回答しませんでした。

この一連の出来事は3月に始まり、侵入者がSalesloftのGitHubアカウントへアクセスし、Salesloft DriftとSalesforceの連携からOAuthトークンを盗み出しました

Driftは営業プロセスを自動化するためのサードパーティアプリで、Salesforceと接続アプリAPIを通じて連携し、リード管理や提案の調整を支援します。これらのOAuthセキュリティトークンが侵害されたことで、データ窃盗犯たちはSalesforce顧客データを密かに大量に盗み出すことができました。

ShinyHuntersによると、彼らはDriftの侵害の際にもGainsightへアクセスしたとのことです。

Gainsightはカスタマーサクセスプラットフォームで、Salesforceや他の複数のCRM(HubSpotなど)、Zendeskのようなサポートツールとも連携しています。

金曜日のアラートで、GainsightはGoogleのMandiantインシデント対応チームを調査支援のために招いたと発表しました。

「Gainsightが公開するSalesforce上のアプリケーションに影響を与えている接続問題の調査を引き続き進めています」と同社は述べ、「調査中の活動はアプリケーションの外部接続から発生したものであり、Salesforceプラットフォーム自体の問題や脆弱性によるものではありません」と付け加えました。

Salesforceは水曜日に「Gainsightが公開するSalesforce連携アプリケーションに関連するすべてのアクティブなアクセスおよびリフレッシュトークンを無効化し、調査が継続される間、それらのアプリケーションをAppExchangeから一時的に削除した」と発表しました

Zendeskも「予防措置として」Gainsightへのコネクタアクセスを無効化し、木曜日にはGainsightアプリが「予防的措置として一時的にHubSpotマーケットプレイスから削除された」とGainsightは以前のアップデートで述べました。「この見直し期間中、顧客接続のOAuthアクセスにも影響が出る可能性があります。」

Salesforceは金曜朝、木曜のアドバイザリー以上のコメントは控えました。

Google Threat Intelligence Groupの主席アナリストAustin Larsenは、以前にThe Registerに対し、この侵害は「UNC6240(別名ShinyHunters)」に関連している可能性が高いと述べ、Googleは「200以上のSalesforceインスタンスが影響を受けた可能性があることを認識している」と語りました。

また、ShinyHuntersによれば、これは犯人たちがSalesloftのGitHubアカウントへアクセスしたことに端を発しています。

侵入者がどのようにGitHubアカウントへアクセスしたのかは依然不明ですが、一度アクセスを得ると、彼らはDriftのAWS環境を探索し、Drift顧客の技術連携用OAuthトークンを入手しました。これらの盗まれたOAuthトークンを使い、複数企業のSalesforceインスタンスに侵入し、顧客データを盗みました。

「他にも既知のOAuthアプリを侵害しました」とShinyを名乗る人物はThe Registerに語りました。「Gainsightは、今どれだけ監視があるかを試すためのテストでした。」

Salesforceは「かなり早く」、最初の侵入から1~2週間ほどで不正な活動を検知したと彼らは付け加えました。「現時点でやりとりについて言えるのは、Salesforceに連絡したということだけで、これ以上は詳しく説明できません。」

ShinyHuntersは犯罪集団の一員で、先月インターネットから一時撤退したものの、現在は活動を再開し、大企業の内部協力者をリクルートしていると、金曜日のTelegram投稿で主張しています。

Salesforceは以前、The Registerに対し、ShinyHuntersへの身代金要求には応じないと述べました。「Salesforceは、いかなる恐喝要求にも応じず、交渉も支払いもしません」と広報担当のAllen Tsai氏は述べました。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/21/shinyhunters_salesforce_gainsight_breach/

ソース: go.theregister.com
#2025年サイバー攻撃 #AIハッキング #Configuration Drift #CSPM(クラウドセキュリティポスチャ管理) #Gainsight #OAuthトークン #Salesforce #Salesloft #ShinyHunters #インサイダーデータ侵害

関連記事

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張

Microsoftが0day研究者との公開対立後に和解の手を差し伸べる