Salesloftは、攻撃者が3月に同社のGitHubアカウントに最初に侵入し、その後8月に広範囲なSalesforceデータ窃取攻撃に使用されたDriftのOAuthトークンの窃取につながったと発表しました。
Salesloftは、企業がアウトリーチや顧客コミュニケーションを管理するのに役立つ広く利用されているセールスエンゲージメントプラットフォームです。同社のDriftプラットフォームは、チャットボットや自動化をセールスパイプラインに統合する会話型マーケティングツールで、Salesforceなどのプラットフォームとの連携も含まれています。
この2つは、Googleの脅威インテリジェンスグループがUNC6395による攻撃と特定した、8月下旬に初めて公表されたサプライチェーン型の大規模な侵害の中心となっています。
しかし、BleepingComputerは、ShinyHuntersという恐喝グループと、Scattered Spiderを名乗る脅威アクターがSalesloft Drift攻撃に関与していたこと、さらに以前のSalesforceデータ窃取攻撃にも関与していたことを確認しました。
GitHubから始まった侵害
Salesloftは8月21日にDriftアプリケーションのセキュリティ問題を最初に公表し、5日後にOAuthトークンの悪用に関する詳細を明らかにしました。
これにより、Salesloftの顧客を対象とした広範囲なSalesforceデータ窃取攻撃が発生し、Google、Zscaler、Cloudflare、Workiva、Tenable、JFrog、Bugcrowd、Proofpoint、Palo Alto Networksなど、被害リストは拡大中です。
Salesloftのデータ窃取攻撃では、脅威アクターは主にSalesforceインスタンスからサポートケースを盗み出すことに注力し、それらを利用してサポートチケット内で共有された認証情報、認証トークン、その他の機密情報を収集していました。
「初期調査の結果、攻撃者の主な目的は認証情報の窃取であり、特にAWSアクセスキー、パスワード、Snowflake関連のアクセストークンなどの機密情報に焦点を当てていたことが判明しています」とSalesloftは8月26日のアップデートで警告しました。
Salesloftの侵害対応を支援しているMandiantの調査によると、脅威アクターは2025年3月から6月の間に最初に同社のGitHub環境へアクセスしたとのことです。
ハッカーは複数のGitHubリポジトリからコードをダウンロードし、ゲストユーザーアカウントを追加し、不正なワークフローを作成して、後の攻撃の準備をしていました。
Mandiantは、同時期に攻撃者がSalesloftおよびDriftの環境で偵察活動を行っていたことを確認しています。
この活動は、脅威アクターがDriftのAWS環境に侵入した後にエスカレートし、SalesforceやGoogle Workspaceなどの技術統合を通じて顧客データへアクセスするために使用されるOAuthトークンの窃取を可能にしました。
Salesloftは、認証情報のローテーション、防御の強化、Driftからの分離の検証を実施したと述べており、Drift側もインフラを隔離し認証情報をローテーションしました。
Mandiantの支援のもと、同社は脅威ハンティングを実施し、追加の侵害の兆候がないことを確認しました。これは、脅威アクターがもはや同社環境に足場を持っていないことを意味します。
Mandiantは封じ込めと分離を検証し、現在はフォレンジック品質保証レビューに移行しています。
昨日公開されたその後のアップデートでは、Driftのセキュリティインシデントによる予防的な一時停止を経て、SalesforceとのSalesloft連携が復旧したことが発表されました。
Salesforceユーザーは再びSalesloftの全ての連携機能にアクセスできるようになり、データ同期が必要なユーザー向けにステップバイステップのガイダンスも提供されています。
