Googleの研究者によると、ハッカーはサードパーティ製ツールを悪用し、認証情報の収集を目的とした攻撃を行った。
今月初め、ハッカーがSalesforceの顧客からユーザー認証情報を盗んだとGoogle脅威インテリジェンスグループの研究者が発表し、これらの窃盗がさらなる攻撃につながる可能性があると警告した。
GoogleがUNC6395として追跡している脅威アクターは、顧客エンゲージメントベンダーであるSalesloftのDrift AIチャットエージェントに関連付けられた侵害されたOAuthトークンを使用してSalesforceインスタンスを標的にした。
研究者によれば、ハッカーの主な目的は認証情報の収集であり、多数のSalesforceインスタンスから大量のデータを盗んだという。
Googleの脅威インテリジェンスグループは「700以上の組織が影響を受けた可能性があることを把握している」と、同社の主任脅威アナリストであるオースティン・ラーセン氏がCybersecurity Diveへの声明で述べた。「脅威アクターはPythonツールを使い、標的となった各組織のデータ窃取プロセスを自動化した。」
研究者によると、これらの攻撃はSalesforceプラットフォーム自体の脆弱性を利用したものではない。
データを盗んだ後、ハッカーはAmazon Web Servicesのアクセスキーやパスワード、Snowflakeクラウドプラットフォームのアクセストークンなど、機密性の高い認証情報を探した。
研究者によると、攻撃の大部分は8月8日から8月18日の間に発生した。8月20日までに、SalesloftはSalesforceと協力し、すべての有効なアクセスおよびDriftトークンのリフレッシュを取り消し始めたとGoogleは述べている。
Salesloftは8月20日にセキュリティ警告を発出し、Drift管理者にSalesforce接続の再認証を求めた。
Salesforceは火曜日の声明で、セキュリティチームが少数の顧客インスタンスへの不正アクセスにつながる可能性のある異常な活動を検知したと述べた。
同社はさらなる調査が完了するまで、AppExchangeマーケットプレイスからSalesloft Driftを削除した。
「当社は引き続きSalesloftと協力し、調査の一環として適切な情報提供や、影響を受けた顧客への通知・サポートを行っている」とSalesforceは警告で述べた。
Googleによると、ハッカーはクエリージョブを削除することで運用上のセキュリティ意識を示したが、この活動はイベントログには直接影響しないため、同社はセキュリティ担当者にデータ漏洩の証拠がないかログを確認するよう促した。
SalesforceまたはSalesloftから侵害の通知を受けたユーザーは、Mandiantのガイダンスに従って対応するべきだと、Mandiant ConsultingのCTOチャールズ・カーマカル氏がLinkedIn投稿で述べた。
最新情報を入手しましょう。Cybersecurity Diveの無料デイリーニュースレターに登録
研究者は、SalesforceインスタンスでDriftを使用していた場合、組織のSalesforceデータが侵害されたと見なすべきだと述べている。影響を受けた企業はAPIキーの取り消し、認証情報のローテーション、アクセス制御の強化を行うべきだという。
翻訳元: https://www.cybersecuritydive.com/news/hackers-steal-data-salesforce-instances/758676/