Palo Alto Networksは、Salesloft Driftの侵害によって流出したOAuthトークンが悪用され、Salesforceインスタンスへアクセスされた結果、顧客データやサポートケースが流出するデータ侵害を受けました。
同社は、先週公表されたサプライチェーン攻撃で影響を受けた数百社のうちの1社であると述べており、攻撃者は盗まれた認証トークンを悪用してデータを持ち出しました。
BleepingComputerは今週末、Palo Alto Networksの顧客からこの侵害について知らされ、サポートチケットで共有されたIT情報やパスワードなどの機微情報が流出したことを懸念する声が寄せられました。
Palo Alto Networksは後にBleepingComputerに対し、このインシデントはSalesforce CRMに限定されており、同社の製品、システム、サービスには影響がなかったと認めました。
「Palo Alto Networksは、Salesloft Driftアプリケーションを標的とした広範なサプライチェーン攻撃によってSalesforceデータが流出した数百社の顧客の1社であることを確認します」とPalo Alto NetworksはBleepingComputerに述べました。
「当社は迅速にインシデントを封じ込め、Salesforce環境から該当アプリケーションを無効化しました。Unit 42による調査の結果、この状況がPalo Alto Networksの製品、システム、サービスに影響を及ぼしていないことが確認されています。」
「攻撃者は主にビジネス連絡先や関連アカウント情報、社内の営業アカウント記録、基本的なケースデータを抽出しました。影響を受けたお客様には直接通知を行っています。」
この攻撃キャンペーンは、Googleの脅威インテリジェンスチームによってUNC6395として追跡されており、特にサポートケースを標的にして、認証トークンやパスワード、クラウドシークレットなど、他のクラウドサービスに侵入しデータを盗むために利用可能な機密データを特定していました。
「当社の観測によると、脅威アクターはAccount、Contact、Case、Opportunityレコードを含むさまざまなSalesforceオブジェクトから機密データを大量に持ち出していました」とPalo Alto NetworksはBleepingComputerに共有したアドバイザリで警告しています。
「持ち出し後、攻撃者は取得したデータから認証情報を積極的にスキャンしていたようで、さらなる攻撃やアクセス拡大を目的としていたと考えられます。また、攻撃者は自分たちの作業の証拠を隠すためにクエリを削除していたことも観測されています。これはアンチフォレンジック技術の一環とみられます。」
Palo Alto Networksによると、攻撃者はAWSアクセスキー(AKIA)、Snowflakeトークン、VPNやSSOのログイン文字列、「password」「secret」「key」などの一般的なキーワードを含むシークレットを探していました。
これらの認証情報は、さらなるクラウドプラットフォームへの侵入や、恐喝目的でのデータ窃取に利用される可能性があります。
GoogleとPalo Alto Networksによれば、脅威アクターは自動化ツールを使ってデータを盗み出しており、ユーザーエージェント文字列からカスタムPythonツールが使用されていたことが示唆されています:
python-requests/2.32.4
Python/3.11 aiohttp/3.12.15
Salesforce-Multi-Org-Fetcher/1.0
Salesforce-CLI/1.0これらの攻撃の一環として、脅威アクターはAccount、Contact、Case、OpportunityのSalesforceオブジェクトからデータを大量に持ち出しました。
検知を回避するため、脅威アクターはログを削除し、Torを使って発信元を隠蔽していました。
Palo Alto Networksは、関連するトークンを無効化し、インシデント後に認証情報をローテーションしたと述べています。
Palo Alto Networks、Salesforce、Googleは、OAuthトークンがどのように盗まれたかの調査が続く中、現在Driftの連携を無効化しています。
このサプライチェーン攻撃は、ZscalerやGoogleなど、他の企業にも影響を与えています。
Salesforceデータ窃取攻撃
今年初めから、SalesforceはShinyHunters恐喝グループと関係するメンバーによるデータ窃取攻撃の標的となっています。
過去の攻撃では、脅威アクターがボイスフィッシング(ビッシング)を行い、従業員をだまして悪意あるOAuthアプリを自社のSalesforceインスタンスに連携させていました。
一度連携されると、脅威アクターはその接続を利用してデータベースをダウンロード・窃取し、その後メールで企業を恐喝していました。
しかし、Salesloftの侵害では、脅威アクターは盗まれたOAuthトークンを使ってデータを窃取することができました。
Googleが6月に最初に攻撃を報告して以来、多くのデータ侵害がこのソーシャルエンジニアリング攻撃に結び付けられており、Google自身、Cisco、Farmers Insurance、Workday、Adidas、Qantas、Allianz Life、LVMH傘下のLouis Vuitton、Dior、Tiffany & Co.などが含まれます。
一部の研究者は、Salesloftサプライチェーン攻撃には同じ脅威アクターが関与していると考えていますが、Googleは両者が関連しているという決定的な証拠はないと述べています。
「現時点では、それらを結びつける説得力のある証拠は確認されていません」とGoogle脅威インテリジェンスグループの主任脅威アナリスト、オースティン・ラーセン氏はBleepingComputerに語りました。
