ShinyHunters恐喝グループは、侵害されたSalesloft Drift OAuthトークンを使用して、760社から15億件以上のSalesforceレコードを盗んだと主張している。
この脅威集団は、ソーシャルエンジニアリングと悪意のある OAuth アプリケーションを使用してSalesforceインスタンスに侵入し、データをダウンロードするというデータ窃盗攻撃で、過去 1 年間にわたりSalesforce の顧客を標的としてきました。そして、盗まれたデータは、データが一般に流出するのを防ぐために、身代金を支払うように企業を恐喝するために使用されます。
これらの攻撃は、ShinyHunters、Scattered Spider、およびLapsus$恐喝グループの一員であるとする脅威行為者によって主張されており、現在は “Scattered Lapsus$ Hunters “と名乗っています。グーグルはこの活動をUNC6040とUNC6395として追跡している。
3月、脅威者の1人はSalesloftのGitHubリポジトリに侵入し、そこには同社のプライベートなソースコードが含まれていた。
その結果、Salesloft DriftとDrift Emailプラットフォーム用のOAuthトークンが発見された。
Salesloft Driftは、Drift AIチャットエージェントをSalesforceインスタンスに接続するサードパーティプラットフォームで、企業は会話、リード、サポートケースをCRMに同期することができます。Drift Emailは、メールの返信を管理し、CRMとマーケティングオートメーションのデータベースを整理するために使用されます。
これらの盗まれたDrift OAuthトークンを使用して、脅威行為者はSalesforceのオブジェクトテーブル「Account」、「Contact」、「Case」、「Opportunity」、「User」から760社分の約15億件のデータレコードを盗んだとShinyHuntersは伝えている。
これらのレコードのうち、約2億5,000万件が「Account」、5億7,900万件が「Contact」、1億7,100万件が「Opportunity」、6,000万件が「User」、約4億5,900万件が「Case」Salesforceテーブルのレコードでした。
Caseテーブルは、これらの企業の顧客から提出されたサポートチケットの情報やテキストを保存するために使用されており、ハイテク企業にとっては機密データを含む可能性があった。
この攻撃の背後にいることを示す証拠として、この脅威者は、侵害されたSalesloftのGitHubリポジトリ内のソースコードフォルダをリストアップしたテキストファイルを共有しました。
Salesloftに、これらのレコード数と影響を受けた企業の総数について質問したが、電子メールによる回答は得られなかった。しかし、ある情報筋はこの数字が正確であることを確認しています。
Google Threat Intelligence(Mandiant)は、盗まれたCaseのデータは、認証情報、認証トークン、アクセスキーなどの隠された秘密を分析し、攻撃者がさらなる攻撃のために他の環境にピボットできるようにしたと報告しています。
「データが流出した後、攻撃者は被害者の環境を侵害するために使用される可能性のある秘密を探すためにデータを検索しました」とGoogleは説明しています。
「GTIGは、UNC6395がAmazon Web Services(AWS)のアクセスキー(AKIA)、パスワード、Snowflake関連のアクセストークンなどの機密性の高い認証情報を標的にしていることを確認しました。
盗まれたDriftおよびDrift Emailトークンは、Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networksなどの大手企業を襲った大規模なデータ盗難キャンペーンで使用されました。
これらの攻撃の量が非常に多いため、FBIは最近、UNC6040とUNC6395の脅威行為者について警告する勧告を発表し、攻撃中に発見されたIOCを共有しました。
先週の木曜日、Scattered Spiderの一員であると主張する脅威行為者は、”暗躍 “し、Telegram上での作戦について議論するのを止める予定であると述べた。
脅威行為者は最後の投稿で、法執行機関がデータ要求を発行するために使用するグーグルのLaws Enforcement Requestシステム(LERS)と、身元調査に使用するFBI eCheckプラットフォームに侵入したと主張した。
これらのクレームについてグーグルに問い合わせたところ、同社はLERSプラットフォームに不正アカウントが追加されたことを確認した。
「グーグル社は、「法執行機関のリクエスト用に不正なアカウントが作成されたことを確認し、そのアカウントを無効にしました。
「この不正アカウントでリクエストは行われておらず、データにアクセスされたこともない。
ReliaQuestの研究者によると、この脅威者は2025年7月に金融機関を標的に攻撃を開始しており、今後も攻撃を続ける可能性が高いという。
このようなデータ盗難攻撃から保護するため、セールスフォースでは、多要素認証(MFA)の有効化、最小権限の原則の徹底、接続アプリケーションの慎重な管理など、セキュリティのベストプラクティスに従うことを顧客に推奨している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments