脅威アクターは2025年3月から6月の間にSalesloftのGitHubアカウントへアクセスし、広範なSalesforce-Salesloftデータ窃取キャンペーンの準備として偵察活動を行っていました。
データ侵害は8月8日から8月18日の間に発生し、攻撃者はDrift AIチャットボットの侵害されたOAuthトークンを使用して、Salesforce環境から大量のデータをエクスポートしました。
UNC6395として追跡されている脅威アクターによるこのキャンペーンは、数百の組織に影響を与え、盗まれたデータからAWSアクセスキー、パスワード、Snowflake関連のアクセストークンの抽出に注力していました。
当初はSalesforce-Salesloft Drift連携を利用しているアカウントのみが影響を受けたと考えられていましたが、その後、Google Workspaceの顧客など、他の組織にも影響が及んでいたことが判明しました。
この攻撃により、SalesforceはSalesloftとの連携を無効化し、Driftも一時的にオフラインとなりセキュリティ強化が図られました。9月7日にはSalesforce-Salesloft連携が復旧しました。
しかし、このキャンペーンはDriftの脆弱性が原因ではなかったと、Salesloftは日曜日に発表しました。実際には、半年ほど前に同社のGitHubアカウントが侵害されたことが原因でした。
「2025年3月から6月にかけて、脅威アクターはSalesloftのGitHubアカウントにアクセスしました。このアクセスにより、複数のリポジトリからコンテンツをダウンロードしたり、ゲストユーザーを追加したり、ワークフローを構築したりすることができました」とSalesloftは明らかにしています。
Mandiantによるこのインシデントの調査では、ハッカーがSalesloftおよびDriftアプリケーション環境で偵察活動を行い、その後DriftのAWSインスタンスにアクセスし、顧客の連携用OAuthトークンを流出させたことが判明しました。
広告。スクロールして続きをお読みください。
「脅威アクターは盗まれたOAuthトークンを使ってDrift連携経由でデータにアクセスしました」とSalesloftは述べています。
同社によると、攻撃はすでに封じ込められており、攻撃者は環境から排除され、Mandiantがそれを検証しました。
ただし、Salesloftが明らかにしていないのは、影響を受けた組織の数です。過去の推定によれば、約700社が影響を受けた可能性があります。
サイバーセキュリティ分野では、Cloudflare、Palo Alto Networks、Zscalerが最初にこの攻撃の影響を認め、その後すぐにProofpoint、SpyCloud、Tanium、Tenableも影響を公表しました。
しかし、このインシデントで影響を受けたサイバーセキュリティ企業のリストは10社以上に拡大しており、BeyondTrust、Bugcrowd、CyberArk、Cato Networks、JFrog、PagerDuty、Rubrikも含まれます。Elasticは、「Drift Email」連携を通じて1つのメールアカウントが侵害されたと述べています。
Esker、Heap、Megaport、Nutanix、Sigma Computing、Workivaも被害を受けたとNudge Securityが明らかにしています。多くの場合、侵害されたSalesforceインスタンスには、名前、メールアドレス、電話番号などのビジネス情報を含むカスタマーサポートチケット関連のデータが保存されていました。
関連記事: Nxサプライチェーン攻撃で6,700以上の非公開リポジトリが公開
関連記事: ゼロからヒーローへ ― 世界クラスの攻撃的セキュリティプログラムを構築するための「測定された」アプローチ
翻訳元: https://www.securityweek.com/salesloft-github-account-compromised-months-before-salesforce-attack/