出典:JHVEPhoto(Alamy Stock Photo経由)
FBIは、2つの脅威アクターがSalesforceの顧客を標的にし、データの窃取や恐喝を行っていると警告しました。
この勧告は金曜日に公開され、FBIのインターネット犯罪苦情センター(IC3)によるものです。対象となる2つの脅威アクターは、UNC6040(ShinyHuntersとも呼ばれる)とUNC6395です。UNC6040は、ボイスフィッシング(vishing)を専門とする脅威アクターで、最近、観測されたように、ITサポートスタッフを装い、ソーシャルエンジニアリングを駆使してSalesforce環境に侵入しています。一方、UNC6395は、主に知られているのは、Salesforceと連携するSalesloftのDriftアプリケーションから盗まれたOAuthトークンを利用し、今年初めに数百のSalesforce環境から機密データを窃取したことです。
FBIの最新の勧告は、これら脅威キャンペーンの技術的側面、特に昨年秋から始まったUNC6040の活動について、追加の情報を提供しています。
UNC6040の感染チェーン
FBIによると、2024年10月以降、UNC6040は主にvishingによるソーシャルエンジニアリング攻撃を実施し、組織のSalesforceアカウントへのアクセスを試みています。このグループはITサポート担当者を装い、ターゲットのコールセンターに電話をかけ、「全社的な接続障害への対応」と主張します。
「自動生成されたチケットのクローズを装い、UNC6040のアクターはカスタマーサポート従業員を騙して、攻撃者にアクセス権を与えたり、従業員の認証情報を共有させたりします。これにより、攻撃者は標的企業のSalesforceインスタンスにアクセスし、顧客データを流出させることができます」と勧告には記載されています。
場合によっては、攻撃者は従業員をフィッシングページに誘導し、初期アクセスを獲得した後、APIコールを使ってデータを収集します。また、攻撃者が単純にログイン情報やMFA認証情報を要求する場合もあります。
さらにFBIは、UNC6040が組織を騙して悪意のあるアプリケーションを組織のSalesforceポータルに接続させることもあると述べています。このアプリケーションは「多くの場合、SalesforceのData Loaderを改変したもの」であり、脅威アクターが認証要件を回避しながら大量の機密データを流出させることを可能にします。これらのアプリケーションは、正規の企業アカウントを必要としないSalesforceのトライアルアカウントを使って作成されます。
UNC6395の攻撃
興味深いことに、FBIの警告によれば、UNC6040の被害者の中には、その後「ShinyHuntersグループを名乗る者から、流出データの公開を避けるために暗号通貨での支払いを要求する恐喝メールを受け取った」ケースもあるとのことです。Google Threat Intelligence Groupの6月のレポートによれば、UNC6040は「一貫して自らをShinyHunters脅威グループであると主張している」とのことです。
UNC6395について、FBIは同グループがSalesloft DriftのOAuthトークンを盗み、Salesforceと連携した被害者を侵害したことについても警告しています。8月20日、「SalesloftはSalesforceと連携し、Driftアプリケーションのすべてのアクティブなアクセスおよびリフレッシュトークンを無効化し、以前接続されていたSalesloftアプリからの脅威アクターによるSalesforceプラットフォームへのアクセスを終了させました。」
Dark Readingは、FBIの勧告についてSalesforceに問い合わせました。これに対し、広報担当者は8月のトークン無効化以降、「SalesforceはSalesloftテクノロジーとの連携を再開したが、Driftアプリを除く」とし、Driftについては「今後の通知があるまで無効のまま」と述べました。
さらに広報担当者は、Driftだけでなく他のSalesforce連携もSalesloftの侵害の影響を受けており、これらのキャンペーンはSalesforceプラットフォーム自体の脆弱性とは無関係であることを強調しました。
UNC6040およびUNC6395への対策
これらのキャンペーンの背後にいる脅威アクターによる脅威から防御するため、FBIは組織に対し、コールセンター従業員にフィッシングの試みを認識・報告する訓練を行うこと、従業員にフィッシング耐性のあるMFAを使用させること、「認証・認可・アカウンティング(AAA)システムを実装してユーザーの操作を制限する」こと、IPベースのアクセス制限を強制すること、ネットワークログやブラウザの活動を監視して侵害の兆候を検出すること、ソフトウェアインスタンスへのすべてのサードパーティ接続を見直すことを推奨しています。
この勧告には、2つのキャンペーンに関連するIPアドレスやURLなどの侵害指標も含まれています。
Dark ReadingはSalesloftにもコメントを求めました。