Google сообщила, что группа угроз, определенная как UNC6395, проводит серию нарушений данных, ориентированных на экземпляры продаж организаций. Нарушениям было облегчено компрометирование токенов OAuth, связанных с сторонним приложением Drift Drift Drift. Эта деятельность, по -видимому, отличается от предыдущих атак Vishing, приписываемых Shinyhunters, которые также нацелены на среды Salesforce.
Группа Google Wreates Intelligence (GTIG) сообщила, что UNC6395 инициировала кампанию «Распространено кражу данных», начиная с 8 августа, и продолжая по крайней мере 18 августа. Актеры угроз использовали токены аутентификации в рамках приложения Salesloft Drift, инструмента AI, разработанных для автоматизации процессов продаж, таких как анализ, анализ и участие, которые интегрируются с забазами Salesforce.
Согласно GTIG, UNC6395 «систематически экспортировал большие объемы данных из многочисленных корпоративных экземпляров Salesforce». Основная цель состояла в том, чтобы собирать конфиденциальные учетные данные, в том числе Amazon Web Services (AWS) клавиши доступа (AKIA), пароли и токены доступа, связанные с снежинками.
В сообщении в блоге GTIG подробно описано, что после извлечения данных «затем актер искал данные, чтобы найти секреты, которые могут быть потенциально использованы для компромисса среды жертв». Чтобы скрыть свою деятельность, актеры угрозы удалили задания на запросы.
Хотя нет никаких признаков того, что журналы были непосредственно повлияли, GTIG советует организациям «пересмотреть соответствующие журналы для доказательств воздействия данных».
Сфера кампании ограничена клиентами Salesloft, которые интегрируют свои решения с Salesforce. GTIG пояснил, что нет никаких доказательств, свидетельствующих о том, что клиенты Google Cloud пострадали, но те, которые используют Drift Salesloft Drift, «должны просмотреть свои объекты Salesforce для любых ключей учетной записи услуг Google Platform».
GTIG подчеркнул, что «организации, использующие Drift, интегрированные с Salesforce, должны учитывать их данные Salesforce, и им призывается предпринять немедленные шаги восстановления».
Salesloft сотрудничала с Salesforce для решения ситуации, отменяя все активные добычи и токены обновления, связанные с приложением Drift. Salesforce также удалил приложение Drift из Salesforce AppExchange «до дальнейшего уведомления и ожидания дальнейшего расследования». GTIG, Salesforce и Salesloft уведомляют затронутые организации.
В отчете GTIG следует раскрытие информации от нескольких известных компаний, в том числе Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday и Google, касающиеся нарушений через стороннюю платформу, по сообщениям, Salesforce, в течение июля и августа. Shinyhunters взял на себя ответственность за многие из этих атак, и визинг -атаки были определены как метод компромисса.
В июне Google сообщил, что финансово мотивированная группа угроз, UNC6040 (якобы связанная с ShinyHunters), выдавала себя за сотрудников ИТ -поддержки в атаках атаки проникновения в среда продаж организаций. Ранее в августе Google сообщил, что UNC6040 нарушил один из своих экземпляров Salesforce, используя эту тактику.
В то время как временная шкала некоторых из этих нарушений Salesforce совпадает с выводами GTIG, методы компромисса различаются. Google заявил, что активность Drift Salesloft UNC6395 отличается от атак Vishing, приписываемых UNC6040. Представитель GTIG подтвердил: «Мы не видели никаких убедительных доказательств, соединяющих их».
GTIG предоставил рекомендации для защитников, консультируя пострадавшие организации для поиска конфиденциальной информации и секретов в объектах Salesforce и предпринять соответствующие действия, такие как отзыв клавиш API, вращение учетных данных и проведение дальнейших расследований, чтобы определить, были ли неправильные секреты UNC6395.
Организации также должны расследовать компромисс и сканирование для разоблаченных секретов путем поиска IP-адресов и строк пользовательского агента, предоставленных GTIG, в разделе «Индикаторы компромисса» в блоге Mandiant. Также рекомендуется реализовать «более широкий поиск любого действия, происходящего из выходящих узлов Tor».
Дополнительные шаги по смягчению включают в себя просмотр журналов мониторинга событий Salesforce для необычной деятельности, связанной с пользователем подключения к дрейфу, активности аутентификации из приложения Drift Connected и уникальных событий, которые регистрировали выполненные запросы SOQL.
Google также предполагает, что организации открывают случай поддержки Salesforce для получения конкретных запросов, используемых субъектом угроз, и поиска объектов Salesforce для потенциальных секретов. Они также должны повернуть учетные данные, немедленно отменив и вращая любые обнаруженные ключи или секреты, сбросить пароли и настройку значений тайм -аута сеанса в настройках сеанса, чтобы ограничить срок службы скомпрометированного сеанса.
Google далее рекомендовал упросить элементы управления доступом, обеспечивая, чтобы приложения имели минимальные необходимые разрешения, обеспечивая ограничения IP в подключенном приложении и определяя диапазоны IP входа в систему, чтобы разрешить доступ только из доверенных сетей.
Source: Google: UNC6395 нарушает Salesforce через Salesloft Drift
