Google、ShinyHunters攻撃によるSalesforceのデータ侵害を確認

新たなサイバーセキュリティキャンペーンの進展として、GoogleはハッカーグループShinyHuntersによって実行されたSalesforceシステムのデータ侵害を認めました。

この侵害は6月初旬に発生し、Googleの内部Salesforceインスタンスの1つが侵害され、中小企業に関連する連絡先情報やメモが公開されました。当時、Googleの脅威インテリジェンスグループ（GTIG）はこの脅威について警告を発しており、攻撃者を「UNC6040」と呼び、金銭的動機を持つグループとして分類し、彼らの恐喝部門を「UNC6240」と名付けていました。

現在、元の投稿の更新において、テクノロジーの巨人は自社が標的にされたことを認めています。GTIGによると、盗まれたデータは「基本的で主に公開されている」ビジネス情報に制限されており、ビジネス名や連絡先の詳細が含まれています。侵入は報告によれば短時間であり、検出後すぐにアクセスが遮断されました。

「6月に、Googleの企業Salesforceインスタンスの1つがこの投稿で説明されているUNC6040の活動の影響を受けました。Googleはこの活動に対応し、影響分析を行い、緩和策を開始しました」とGoogleの更新は述べています。

「このインスタンスは中小企業の連絡先情報や関連メモを保存するために使用されていました。分析により、データがアクセスが遮断される前の短い時間の間に脅威アクターによって取得されたことが明らかになりました。」

ShinyHuntersとは？

ShinyHuntersは、Snowflake、AT&T、NitroPDF、PowerSchoolなどの一連の著名な侵害に関連付けられている悪名高い恐喝グループです。この夏、彼らはAdidas、Qantas、Allianz Life、Cisco、Dior、Louis Vuitton、Pandoraなどの企業のSalesforceデータを侵害した責任を主張しています。

今回は、音声フィッシング、または「vishing」を使用して、従業員を騙してSalesforceなどのクラウドサービスへのアクセスを奪わせました。

攻撃の広がる網

Googleの侵害は、ShinyHuntersによるSalesforceデータを盗み、武器化するためのはるかに大きなキャンペーンの一部に過ぎません。このグループは、ITサポートを装って説得力のある電話をかけるなどのソーシャルエンジニアリング戦術を使用して、従業員を騙して資格情報を渡させたり、企業のSalesforceアカウントに接続された偽のアプリを承認させたりします。

内部に侵入すると、彼らはカスタムスクリプトや修正されたSalesforce Data Loaderを展開して、敏感なビジネスデータを静かに抽出します。

場合によっては、攻撃者は「My Ticket Portal」などの名前で偽装されたこれらのツールの修正バージョンを使用して、フィッシング電話で使用した前提に合わせます。

重要なことに、これらの攻撃はSalesforce自体の欠陥を利用しているわけではありません。このプラットフォームは安全です。代わりに、ハッカーは人為的なエラーに依存しており、ユーザーを操作して資格情報を渡させたり、悪意のある接続アプリを承認させたりします。

盗まれたデータは身代金要求に使用され、企業は72時間以内にビットコインでの支払いを要求する脅迫メールを受け取ります。情報がオンラインで漏洩するリスクがあるため、企業は敏感な情報の公開を防ぐために多額の金額を支払ったケースもあり、ある企業はデータがオンラインで漏洩するのを防ぐために40万ドルを支払ったと報告されています。**

Googleの対応

Googleは、特にSalesforce Data Loaderのようなツールを含むこの種のソーシャルエンジニアリング攻撃から組織を保護するために、以下のいくつかの重要なセキュリティ対策を共有しました。

• Salesforce Data Loaderおよび接続アプリへのアクセスを制限する
• IPベースのアクセス制限を使用する
• 多要素認証（MFA）を普遍的に強制する
• 大規模なデータダウンロードを監視する
• 役割に基づいて権限を制限する

「これらの対策を実施することで、組織はvishingやUNC6040データ流出キャンペーンに対するセキュリティ姿勢を大幅に強化できます」とGoogleは結論付けました。