Google on paljastanut, että UNC6395: ksi tunnistettu uhkaryhmä on suorittanut sarjan tietorikkomuksia, jotka kohdistuvat organisaatioiden Salesforce -ilmentymiin. Rikkomuksia helpotettiin vaarantamalla OAuth-rahakkeet, jotka liittyvät Salesloft Drift kolmannen osapuolen sovellukseen. Tämä toiminta näyttää eroavan aikaisemmista kiiltävälle osoitetuista kehityshyökkäyksistä, jotka myös kohdistivat Salesforce -ympäristöihin.
Google Threat Intelligence Group (GTIG) kertoi, että UNC6395 aloitti ”laajalle levinnyt datavarkaus” -kampanjan 8. elokuuta alkaen ja jatkuen vähintään 18. elokuuta. Uhka-toimijat käyttivät todennusmerkkejä SalesLoft Drift -sovelluksessa, AI-moottorilla varustetussa työkalussa, joka on suunniteltu automatisoimaan myyntiprosesseja, kuten viestintä, analyysi ja sitoutuminen, ja integroivat Salesforce-tietokannat.
GTIG: n mukaan UNC6395 ”vie systemaattisesti suuria tietoja lukuisista yritysmyymälöistä.” Ensisijaisena tavoitteena oli saada arkaluontoisia valtakirjoja, mukaan lukien Amazon Web Services (AWS) -näppäimet (AKIA), salasanat ja lumihiutaleisiin liittyvät käyttöoikeudet.
GTIG -blogikirjoitus, joka oli yksityiskohtaisesti, että tietojen purkamisen jälkeen ”näyttelijä etsi sitten tietoja etsimään salaisuuksia, joita voidaan käyttää mahdollisesti uhriympäristöjen vaarantamiseen.” Uhka -toimijat poistivat toimintaansa kyselytyöt.
Vaikka ei ole merkkejä siitä, että lokiin vaikuttaisi suoraan, GTIG kehottaa organisaatioita ”tarkistamaan asiaankuuluvat lokit tietojen altistumisesta”.
Kampanjan laajuus on rajoitettu Salesloft -asiakkaille, jotka integroivat ratkaisunsa Salesforceen. GTIG selvensi, että ei ole todisteita siitä, että Google Cloud -asiakkaita vaikuttaisi suoraan, mutta Salesloft Driftin hyödyntävien ”tulisi tarkistaa Salesforce -objektinsa kaikille Google Cloud Platform Service -tilien avaimille”.
GTIG korosti, että ”Salesforceen integroitujen drift -integroitujen organisaatioiden tulisi harkita Salesforce -tietojaan vaarantuneita ja heitä kehotetaan toteuttamaan välittömät korjausvaiheet.”
Salesloft teki yhteistyötä Salesforcen kanssa tilanteen torjumiseksi peruuttamalla kaikki Drift -sovellukseen liittyvät aktiiviset pääsy- ja päivitystunnukset. Salesforce on myös poistanut Drift -sovelluksen Salesforce AppExchange -sivustolta ”toistaiseksi ja odotettaessa lisätutkimuksia”. GTIG, Salesforce ja Salesloft ovat kaikki ilmoittaneet vaikuttavista organisaatioista.
GTIG-raportti seuraa useiden merkittävien yritysten, mukaan lukien Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday, ja Google, julkistamista, jotka koskevat rikkomuksia kolmannen osapuolen alustan kautta, raportoivat Salesforcen heinä- ja elokuussa. ShinyHunterit väittivät vastuun monista näistä hyökkäyksistä, ja vaaranhyökkäykset on tunnistettu kompromissimenetelmänä.
Kesäkuussa Google kertoi, että taloudellisesti motivoitunut uhkaryhmä, UNC6040 (väitetysti liittyvä ShinyHuntersiin), oli IT -tukihenkilöstöä tukevien henkilöstön hyökkäyksissä tunkeutumaan organisaatioiden Salesforce -ympäristöihin. Aiemmin elokuussa Google paljasti, että UNC6040 rikkoi yhtä Salesforce -ilmentymistä käyttämällä näitä taktiikoita.
Vaikka joidenkin näiden Salesforce -rikkomusten aikajana vastaa GTIG: n havaintojen kanssa, kompromissimenetelmät eroavat toisistaan. Google totesi, että UNC6395 Salesloft Drift -aktiivisuus eroaa UNC6040: lle johtuvista kehityshyökkäyksistä. GTIG: n tiedottaja vahvisti: ”Emme ole nähneet kiinnostavia todisteita, jotka yhdistävät heidät.”
GTIG antoi suosituksia puolustajille, neuvontaa vaikuttavien organisaatioiden etsimistä arkaluontoisia tietoja ja salaisuuksia Salesforce -objekteissa ja ryhtyä asianmukaisiin toimiin, kuten API -avaimien, kiertävien valtakirjojen, peruuttamiseen ja lisätutkimuksiin sen selvittämiseksi, käytettiinkö salaisuuksia UNC6395: llä.
Organisaatioiden tulee myös tutkia paljaiden salaisuuksien kompromisseja ja skannata etsimällä GTIG: n IP-osoitteita ja käyttäjä-agenttijonoja Mandiant-blogiviestin kompromissio-osiossa. On myös suositeltavaa toteuttaa ”laajempi haku kaikista Tor -poistumisolmuista peräisin olevista toiminnoista.”
Muita lieventämisvaiheita ovat Salesforce -tapahtumien seurantalokien tarkistaminen epätavalliselle toiminnalle, joka on linkitetty Drift Connection -käyttäjälle, todennustoiminta Drift Connected App -sovelluksesta ja Underlequery -tapahtumat, jotka lokivat SOQL -kyselyt.
Google ehdottaa myös, että organisaatiot avaavat Salesforce -tukitapauksen saadaksesi erityisiä kyselyjä, joita uhkatoimija ja Salesforce -objektien etsiminen potentiaalisille salaisuuksille. Niiden tulee myös kiertää käyttöoikeustiedot kumoamalla ja kiertämällä heti löydettyjä avaimia tai salaisuuksia, palauttamalla salasanat ja määrittämällä istunnon aikakatkaisujen arvot istunto -asetuksissa rajoitetun istunnon elinkaaren rajoittamiseksi.
Google suositteli edelleen kovettumista käyttöoikeusohjauksia varmistamalla, että sovelluksilla on tarvittavat vähimmäisoikeudet, IP -rajoitusten täytäntöönpanot kytkettyyn sovellukseen ja määrittelemällä sisäänkirjautumiskalujen IP -alueet, jotta pääsy vain luotetuista verkkoista.
Source: Google: UNC6395 rikkoo Salesforcea Salesloft Driftin kautta
