Google ujawniło, że grupa zagrożeń, zidentyfikowana jako UNC6395, prowadzi szereg naruszeń danych ukierunkowanych na instancje Salesforce. Naruszenia zostały ułatwione poprzez uszczerbku dla tokenów OAuth związanych z aplikacją stron trzecią Salesloft Drift. Wydaje się, że działanie to różni się od poprzednich ataków Vishing przypisywanych ShinyHunters, które również były ukierunkowane na środowiska Salesforce.
Google Threat Intelligence Group (GTIG) poinformowała, że UNC6395 zainicjował kampanię „powszechną kradzież danych”, która rozpoczyna się około 8 sierpnia i trwająca do co najmniej 18 sierpnia. Podmioty zagrożenia wykorzystują tokeny uwierzytelniania w aplikacji SalesLoft Drift, narzędziem zasilanym AI zaprojektowanym do automatyzacji procesów sprzedaży, takich jak komunikacja, analiza i zaangażowanie, które integrują bazy danych Uwierzytelniania.
Według GTIG, UNC6395 „systematycznie eksportował duże ilości danych z wielu instancji Salesforce”. Głównym celem było zebranie wrażliwych poświadczeń, w tym klucze dostępu Amazon Web Services (AWS) (AKIA), haseł i tokenów dostępowych związanych z płatkiem śniegu.
Post na blogu GTIG szczegółowo opisał, że po wyodrębnianiu danych „aktor następnie przeszukał dane w celu poszukiwania tajemnic, które mogą być potencjalnie wykorzystane do narażania środowisk ofiar”. Aby ukryć swoje działania, aktorzy zagrożeni usunęli zadania zapytania.
Chociaż nic nie wskazuje na to, że logi zostały bezpośrednio dotknięte, GTIG doradza organizacjom, aby „przeglądać odpowiednie dzienniki pod kątem dowodów narażenia na dane”.
Zakres kampanii jest ograniczony do klientów SalesLoft, którzy integrują swoje rozwiązania z Salesforce. GTIG wyjaśnił, że nie ma dowodów sugerujących, że klienci Google Cloud byli bezpośrednio dotknięci, ale osoby wykorzystujące Drift SalesLoft „powinni przejrzeć obiekty Salesforce dla dowolnych kluczy konta usługi Platformu Google Cloud”.
GTIG podkreślił, że „organizacje wykorzystujące Drift zintegrowane z Salesforce powinny rozważyć swoje dane Salesforce i są zachęcane do podjęcia kroków natychmiastowych”.
Salesloft współpracował z Salesforce, aby zająć się sytuacją, cofając wszystkie aktywne tokeny powiązane z aplikacją Drift. Salesforce usunął również aplikację Drift z AppExChange „Salesforce„ do odwołania i oczekujących na dalsze dochodzenie ”. GTIG, Salesforce i Salesloft wszystkie powiadomili organizacje dotknięte dotkniętym dotknięciem.
Raport GTIG jest zgodny z ujawnieniami wielu wybitnych firm, w tym Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday i Google, dotyczące naruszeń za pośrednictwem platformy zewnętrznej, podobno Salesforce, w lipcu i sierpniu. Shinyhunterzy stwierdzili odpowiedzialność za wiele z tych ataków, a ataki Vishing zostały zidentyfikowane jako metodę kompromisu.
W czerwcu Google poinformowało, że motywowana finansowo grupa zagrożeń, UNC6040 (rzekomo związana z błyszczącymi łamaniami), podszywała się do personelu wspierającego IT w atakach do infiltracji organizacji Salesforce Environments. Wcześniej w sierpniu Google ujawnił, że UNC6040 naruszył jedną z jego instancji Salesforce przy użyciu tych taktyk.
Podczas gdy harmonogram niektórych z tych naruszeń Salesforce jest zgodny z ustaleniami GTIG, metody kompromisu różnią się. Google stwierdził, że aktywność dryfu SalesLoft UNC6395 różni się od ataków Vishing przypisywanych UNC6040. Rzecznik GTIG potwierdził: „Nie widzieliśmy żadnych przekonujących dowodów łączących je”.
GTIG dostarczyło zalecenia dla obrońców, doradzając organizacjom dotkniętym dotknięciem w poszukiwaniu poufnych informacji i tajemnic w obiektach Salesforce i podjęcia odpowiednich działań, takich jak cofanie klawiszy API, obracanie poświadczeń i przeprowadzanie dalszych badań w celu ustalenia, czy tajemnice zostały wykorzystane przez UNC6395.
Organizacje powinny również zbadać kompromis i skanowanie w poszukiwaniu odsłoniętych tajemnic, wyszukując adresy IP i ciąży użytkowników dostarczone przez GTIG w sekcji w sekcji kompromisowej w poście na blogu. Zaleca się również wdrożenie „szerszego wyszukiwania dowolnego działania pochodzącego z węzłów wyjściowych TOR”.
Dodatkowe kroki łagodzenia obejmują przegląd dzienników monitorowania zdarzeń Salesforce pod kątem nietypowej aktywności połączonej z użytkownikiem połączenia Drift, aktywność uwierzytelniania z aplikacji podłączonej do dryfu oraz unikalne zdarzenia, które rejestrują zapytań SOQL.
Google sugeruje również, że organizacje otwierają przypadek wsparcia Salesforce, aby uzyskać określone zapytania stosowane przez aktora zagrożonego i wyszukiwać obiekty Salesforce w poszukiwaniu potencjalnych tajemnic. Powinny również obracać poświadczenia, natychmiast cofając i obracając wszelkie odkryte klucze lub sekrety, resetowanie haseł i konfigurowanie wartości limitu czasu sesji w ustawieniach sesji, aby ograniczyć żywotność sesji.
Google zalecało dodatkowo kontrolę dostępu do stwardnienia, zapewniając, że aplikacje mają minimalne niezbędne uprawnienia, wymuszając ograniczenia IP w podłączonej aplikacji oraz definiowanie zakresów IP loginu, aby umożliwić dostęp tylko z zaufanych sieci.
Source: Google: UNC6395 narusza Salesforce za pośrednictwem Salesloft Drift
