SaaS統合プロバイダーが侵害され、認証トークンが盗まれた後、12社以上の企業がデータ盗難攻撃を受けました。
盗まれたトークンを使用して多くのクラウドストレージとSaaSベンダーが標的にされましたが、BleepingComputerが学んだところでは、データ盗難攻撃の大多数はクラウドベースのデータウェアハウスプラットフォームであるSnowflakeを対象としていました。
Snowflakeは、少数の顧客が影響を受けたと述べながら、BleepingComputerに「異常なアクティビティ」を確認しました。
「特定のサードパーティ統合にリンクされた少数のSnowflakeカスタマーアカウント内で、最近異常なアクティビティを検出しました」とSnowflakeはBleepingComputerに語りました。
「すぐに調査を開始し、念のため、潜在的に影響を受けたカスタマーアカウントをロックダウンしました。また、潜在的に影響を受けたお客様に通知し、アカウントをさらに保護するための予防的ガイダンスを提供しました。」
Snowflakeは、攻撃がそのシステムの脆弱性や侵害を伴わなかったことを強調しました。
これらの攻撃の一部として、脅威アクターは盗まれた認証トークンを使用してSalesforceからデータを盗もうとしたとされていますが、成功する前に検出されました。
Anodotの疑わしい侵害後のデータ盗難
Snowflakeはこれらの攻撃にリンクされたサードパーティ統合パートナーがどれであるかを確認しませんでしたが、BleepingComputerは多くのソースから、攻撃はデータ異常検出企業Anodotのセキュリティインシデントに起因していることを告げられました。
Anodotは、ビジネスと運用データのリアルタイム異常検出を提供するAIベースの分析企業であり、組織が機械学習を使用して売上、取引、およびシステムパフォーマンスの異常な変化を自動的に検出するのを支援します。データ分析企業のGlassboxは、2025年11月に同社を買収しました。
BleepingComputerは、多くの企業が現在、盗まれたデータの公開を防ぐためにランサムウェア支払いを要求しているShinyHunters恐喝ギャングに恐喝されていることを告げられました。
攻撃を学んだ後、ShinyHuntersグループはBleepingComputerに彼らがその背後にいることを確認し、先週の金曜日に数十の企業からデータを盗んだと主張しました。彼らはまた、Salesforceからデータを盗もうとする試みを確認しましたが、AI検出によってブロックされたと述べています。
ブロックされた試みは、過去1年間のデータ盗難攻撃の波の中で起こっており、Salesforceの顧客を標的としています。
脅威アクターはまた、攻撃がAnodotのセキュリティインシデントから生じていると主張し、彼らが同社に一定期間アクセスできていたと示唆しました。
脅威アクターはインシデントの影響を受けたとされているいくつかの企業を共有しましたが、BleepingComputerは確認なしにそれらの名前を付けません。
Payoneerという1つの企業だけが私たちのメールに返信し、統合企業の侵害を認識していますが、影響を受けなかったと述べました。
「サードパーティサービスプロバイダーのAnodotを含むセキュリティインシデントを認識しています。当社のレビューに基づいて、Payoneerは影響を受けていません」と、PayoneerはBleepingComputerへのステートメントで述べました。
今年の多くのデータ盗難キャンペーンを追跡してきたGoogleの脅威インテリジェンスグループは、BleepingComputerにもインシデントを認識し、それを追跡していることを確認しましたが、現在のところ詳細は共有していません。
BleepingComputerはAnodotとその親会社Glassboxに複数のメールを送信していますが、まだ返信を受け取っていません。
