Een cyberaanval die een applicatie van derden exploiteert, heeft geresulteerd in Datalekken Volgens meerdere Salesforce -instanties, volgens de Google’s Threat Intelligence Group. De aanvallen, toegeschreven aan een groep die werd gevolgd als UNC6395, hefbeurt gecompromitteerde oauth -tokens geassocieerd met de SalesLoft Drift -toepassing om gevoelige gegevens te exfiltreren.
Google’s Threat Intelligence Group (GTIG) identificeerde UNC6395 als de dader van een campagne “wijdverbreide gegevensdiefstal”. Deze campagne, die rond 8 augustus begon en doorging tot en met ten minste 18 augustus, was gericht SalesLoft Drift sollicitatie. Deze applicatie, ontworpen om verkoopprocessen te automatiseren, integreert met Salesforce -databases voor communicatie, analyse en klantbetrokkenheid. De gecompromitteerde tokens vergemakkelijkten ongeautoriseerde toegang tot gevoelige informatie die is opgeslagen in de beoogde systemen.
De primaire doelstelling van UNC6395 was de systematische extractie van grote hoeveelheden gegevens uit tal van zakelijke verkoopinstanties. GTIG-onderzoekers gaven aan dat de intentie van de acteur was om gevoelige referenties te oogsten, gericht op Amazon Web Services (AWS) Access Keys (AKIA), wachtwoorden en sneeuwvlokvertangstoegingstokens. Eenmaal geëxtraheerd, kan deze informatie worden benut om ongeautoriseerde toegang te krijgen tot verschillende systemen en diensten.
Na de exfiltratie van gegevens heeft UNC6395 zoekopdrachten uitgevoerd binnen de gestolen informatie om geheimen te identificeren die mogelijk kunnen worden gebruikt om slachtofferomgevingen te compromitteren. GTIG verklaarde dat de acteur specifieke vragen gebruikte om deze referenties te identificeren. Om hun activiteiten te verbergen, verwijderde de groep vervolgens querybanen, in een poging om het bewijs van de gegevensdiefstal te wissen. De verwijdering van deze logboeken maakte het traceren van de volledige omvang van de inbreuk moeilijker, hoewel GTIG richtlijnen heeft gegeven voor het onderzoeken van potentiële blootstelling aan gegevens.
Gtig heeft aanbevelingen gedaan voor sanering en mitigatie en benadrukt dat de impact van de campagne beperkt lijkt te zijn tot klanten van SalesLoft die hun oplossingen integreren met de Salesforce Service. Er is geen bewijs dat een directe impact suggereert op Google Cloud -klanten. GTIG heeft echter geadviseerd dat klanten die gebruik maken van SalesLoft -drift hun Salesforce -objecten voor alle Google Cloud Platform Service Account -toetsen zouden moeten beoordelen, omdat deze mogelijk zijn blootgesteld tijdens de gegevensdiefstal.
Gezien de aard van de aanval, drong GTIG er bij organisaties op aan die drift met Salesforce gebruikte om hun Salesforce -gegevens te overwegen en onmiddellijk de stappen te nemen. Deze stappen zijn ontworpen om de inbreuk te bevatten en verdere ongeautoriseerde toegang te voorkomen.
Om de situatie aan te pakken, werkte SalesLoft samen met Salesforce om alle actieve toegang in te trekken en tokens te vernieuwen die aan de drift -applicatie zijn gekoppeld. Deze actie was gericht op het voorkomen van voortdurende ongeautoriseerde toegang via de gecompromitteerde tokens. Bovendien verwijderde Salesforce de drifttoepassing van de Salesforce AppExchange in afwachting van verder onderzoek, waardoor deze niet beschikbaar is voor nieuwe installaties totdat de beveiligingsproblemen zijn opgelost. GTIG, Salesforce en SalesLoft hebben op de hoogte gebracht van organisaties die worden aangenomen dat ze worden beïnvloed door de gegevensdiefstal.
Voorafgaand aan dit incident meldden meerdere spraakmakende bedrijven, waaronder Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday en Google, inbreuken via een platform van derden, dat naar verluidt Salesforce was. De dreigingsgroep Shinyhunters claimde de verantwoordelijkheid voor veel van deze aanvallen, met vishing -aanvallen die werden aangehaald als de primaire methode voor een compromis. Deze eerdere inbreuken onderstrepen de kwetsbaarheid van systemen die afhankelijk zijn van integraties van derden.
In juni meldde Google dat een financieel gemotiveerde dreigingsgroep, gevolgd als UNC6040, zich voordeed aan het ondersteunen van IT -ondersteunend personeel bij het vissen van aanvallen om toegang te krijgen tot de Salesforce -omgevingen van organisaties. Google verklaarde dat UNC6040 beweerde glanzendhunters te zijn. Met behulp van deze tactieken heeft UNC6040 een van de eigen Salesforce -instanties van Google geschonden. Het rapport benadrukte de toenemende verfijning van dreigingsactoren bij het richten van Salesforce -omgevingen met behulp van sociale engineeringtechnieken.
Hoewel de tijdlijn van deze eerdere Salesforce -inbreuken overlapt met de UNC6395 SalesLoft Drift -activiteit, verduidelijkte Google dat de methoden van compromis duidelijk verschillend zijn. Google heeft verklaard dat de UNC6395 SalesLoft Drift -activiteit los staat van de Vishing -aanvallen toegeschreven aan UNC6040. Een woordvoerder van GTIG bevestigde dat er geen overtuigend bewijs is dat de twee campagnes verbindt, wat aangeeft dat de inbreuken onafhankelijke gebeurtenissen zijn die door verschillende dreigingsactoren worden uitgevoerd.
Naast de reeds genomen saneringsstappen beval Google aan dat organisaties van invloed waren op het zoeken naar gevoelige informatie en geheimen in Salesforce -objecten en passende actie ondernemen. Deze acties omvatten het intrekken van API -toetsen, roterende referenties en het uitvoeren van verdere onderzoeken om te bepalen of de geheimen zijn misbruikt door UNC6395. Organisaties moeten ook onderzoeken naar een compromis en scannen op blootgestelde geheimen, met behulp van indicatoren van compromis (IOC’s) geleverd door GTIG, zoals IP-adressen en gebruikersagentreeksen geïdentificeerd in de Mandiant blogbericht. Een bredere zoektocht naar activiteit afkomstig van Tor Exit -knooppunten wordt ook geadviseerd.
Verdere mitigatie -stappen omvatten het beoordelen van Salesforce Event -monitoringlogboeken voor ongebruikelijke activiteiten die zijn gekoppeld aan de gebruiker van de driftverbinding, authenticatie -activiteit uit de drift -verbonden app en unieke gebeurtenissen die SOQL -query’s uitvoeren. Organisaties kunnen ook een Salesforce -ondersteuningscase openen om specifieke vragen te verkrijgen die door de dreigingsacteur worden gebruikt en Salesforce -objecten zoeken voor potentiële geheimen. Onmiddellijke intrekking en rotatie van ontdekte toetsen of geheimen, het resetten van wachtwoorden en het configureren van sessie time -outwaarden in sessie -instellingen om de levensduur van een gecompromitteerde sessie te beperken, worden ook aanbevolen.
Google heeft ook organisaties geadviseerd om toegangscontroles te verharden door ervoor te zorgen dat applicaties de minimaal noodzakelijke machtigingen hebben, het afdwingen van IP -beperkingen op de verbonden app en het definiëren van Login IP -bereiken om toegang alleen uit vertrouwde netwerken mogelijk te maken. Deze maatregelen zijn bedoeld om het aanvalsoppervlak te verminderen en de potentiële impact van toekomstige compromissen te beperken.
