- 2つの脅威グループUNC6040とUNC6395が、Salesforceアカウントを積極的に標的にして機密データを窃取している
- UNC6395はSalesloft Driftチャットボットのような連携機能を悪用し、UNC6040は電話を使ったソーシャルエンジニアリングでITスタッフになりすましてアクセスを得ている
- FBIは、後続の恐喝攻撃がしばしばScattered Spiderと関係のあるShinyHuntersによって実行されていると警告している
現在、2つの異なる脅威アクターが組織のSalesforceアカウントを標的にして、内部の機密データを窃取しています。これは米連邦捜査局(FBI)によるもので、最近、企業に対してこの継続的な脅威について警告するFLASHアドバイザリを発表しました。
「連邦捜査局(FBI)は、サイバー犯罪グループUNC6040およびUNC6395による最近の悪意あるサイバー活動に関連する侵害の指標(IOC)を広めるために、このFLASHを発表します。これらのグループはデータ窃盗や恐喝侵入の増加に関与しています」と同局はアドバイザリで述べています。
「両グループは最近、異なる初期アクセス手段を用いて組織のSalesforceプラットフォームを標的にしていることが確認されています。FBIはこの情報を公開することで認知度を最大化し、受信者が調査やネットワーク防御に利用できるIOCを提供します。」
Scattered SpiderとShinyHunters
近年、Salesforceと連携可能なAIチャットボットであるSalesloft Driftアプリケーションを通じて、企業のSalesforceアカウントがサイバー犯罪者に侵害されたという報告が多数ありました。
FBIはこのグループをUNC6395と認定しており、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networksなど、最大手のテクノロジーやセキュリティ企業が標的になったとみられています。
もう一方のグループUNC6040は、被害者を騙してアクセスを共有させる手口で侵入しました。彼らは電話をかけ、企業全体の接続問題を解決するITサポート担当者になりすましていました。
「自動生成されたチケットを閉じるという名目で、UNC6040の攻撃者はカスタマーサポート担当者を騙し、攻撃者にアクセス権を与える、あるいは従業員の認証情報を共有させる行動を取らせ、標的企業のSalesforceインスタンスにアクセスして顧客データを持ち出すことを可能にしています」とFBIは説明しています。
この手法を巧みに使いこなしていることで知られる脅威アクターがScattered Spiderです。FBIはアドバイザリでこのグループ名を明言しませんでしたが、後続の恐喝攻撃は通常、Scattered Spiderと協力関係にあるShinyHuntersによって実行されていると述べています。ある時点では、両グループが合併し「ScatteredLapsus$Hunters」と名乗っていたこともありました。
