Salesloft Driftアプリを介してSalesforceデータを標的とした、最近発見されたサプライチェーン攻撃キャンペーンは、当初考えられていたよりも広範囲に及んでいます。
Google(GTIG)は先週末の投稿で、攻撃者がSalesloft DriftとのSalesforce連携だけでなく、「ごく少数」のGoogle Workspaceアカウントも標的にしていたことを明らかにしました。
「現在、すべてのSalesloft Driftの利用者に対し、Driftプラットフォームに保存または接続されているすべての認証トークンを潜在的に侵害されたものとして扱うように勧告します」と警告しています。
「組織は直ちに、Driftインスタンスに接続されているすべてのサードパーティ統合を確認し、これらのアプリケーションの認証情報を無効化・再発行し、すべての接続システムに不正アクセスの兆候がないか調査することを推奨します。」
Salesloftに関する詳細:Salesloftアプリ経由でSalesforceを標的とした新たなデータ窃取キャンペーン
このキャンペーンは先週、GTIGが発表したことで明るみに出ました。UNC6395として追跡されている攻撃者が、8月8日から8月18日の間に「多数の」Salesforce顧客インスタンスを標的とし、組織的に大量のデータを流出させていました。
当時、攻撃者の狙いはAWSアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの認証情報の収集であるとされていました。数百の組織が影響を受けたと考えられています。
ハッカーは、Salesforceと連携したSalesloftのDrift AIチャット統合のOAuthトークンを盗み、企業のSalesforceインスタンスを侵害しました。SalesforceやGoogleのプラットフォーム自体に脆弱性は確認されていません。
新たなIoCと活動の発見
セキュリティベンダーのAstrixは、このキャンペーンに関連する183件の未公開IPベースの侵害指標(IoC)を明らかにしました。これらはすべてTorの出口ノードです。この活動は、侵害されたSalesforce環境から抽出したバケット名を使ってS3バケットへのアクセスを試みた悪意のあるAWSアカウントに関連付けられました。
「認証失敗によって、攻撃者のAWSアカウントIDが意図せず公開されました」とAstrixは説明しています。
「我々の分析によると、この悪意のあるAWSアカウントは2025年8月初旬に活動を開始しており、キャンペーン全体のタイムラインと一致しています。」
このセキュリティベンダーは、すべてのクラウドアカウントにおいてOAuthトークン管理の強化を組織に呼びかけました。
画像クレジット:gguy / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/salesloft-attacks-target-google/