Группа Google Threat Intelligence Group предупредила о «широкомасштабной кампании по краже данных», которая за 10 дней скомпрометировала сотни клиентов Salesforce в начале этого месяца.
Согласно отчёту, опубликованному во вторник , исследователи утверждают, что группа угроз, отслеживаемая Google, похитила большие объёмы данных из клиентских экземпляров Salesforce, используя украденные токены OAuth от Salesloft Drift, стороннего чат-агента на основе искусственного интеллекта для продаж и лидов. Google заявила, что серия атак продолжалась как минимум с 8 по 18 августа.
«GTIG известно о более чем 700 потенциально пострадавших организациях», — сообщил CyberScoop Остин Ларсен, главный аналитик угроз GTIG. «Злоумышленники использовали инструмент на Python для автоматизации процесса кражи данных для каждой организации, подвергшейся атаке».
По данным Google, злоумышленники в первую очередь стремились украсть учётные данные для компрометации других систем, подключенных к первоначальным жертвам. UNC6395, в частности, искал ключи доступа к Amazon Web Services, учётные данные виртуальных частных сетей и учётные данные Snowflake.
«Используя один токен, украденный у Salesloft, злоумышленник смог получить доступ к токенам любой организации, связанной с Drift. Затем злоумышленник использовал токены Salesforce для прямого доступа к этим данным и переправки их на серверы, где искал учётные данные в открытом виде, включая пароли Amazon, Snowflake и другие», — рассказал Тайлер Маклеллан, главный аналитик по угрозам в GTIG.
По его словам, Mandiant Consulting, компания Google, занимающаяся реагированием на инциденты, не зафиксировала дальнейшего использования украденных учетных данных в ходе каких-либо текущих расследований.
Компания Salesloft подтвердила информацию о взломах в обновлении безопасности, опубликованном в понедельник, и сообщила, что все пострадавшие клиенты были уведомлены. Компания впервые опубликовала предупреждение о вредоносной активности, направленной на приложения Salesloft Drift, интегрированные с Salesforce, 19 августа.
Salesloft заявила, что совместно с Salesforce отозвала все активные токены доступа и обновления для приложения, и утверждает, что последствия атаки ограничены клиентами, интегрированными с Salesforce. Google заявила, что атаки прекратились после того, как Salesloft и Salesforce отозвали доступ 20 августа.
В своем заявлении во вторник компания Salesforce сообщила, что проблема затронула «небольшое количество клиентов», добавив, что «эта проблема возникла не из-за уязвимости в базовой платформе Salesforce, а из-за взлома соединения с приложением».
Google посоветовала клиентам Salesloft Drift, интегрированным с Salesforce, рассмотреть возможность компрометации своих данных, поискать секреты, содержащиеся в их экземплярах Salesforce, и устранить проблему путем отзыва ключей API, ротации учетных данных и дальнейшего расследования.
Google пока не установила происхождение и мотивы UNC6395. Атаки были «широкомасштабными и ситуативными, и, по всей видимости, использовались для использования любой организации, использующей интеграцию Salesloft Drift с Salesforce», — сказал Маклеллан.
Руководитель службы безопасности AppOmni Кори Михал заявил, что компрометация и злоупотребление токенами OAuth и интеграцией между облаками — давно известная «слепая зона» для большинства предприятий. Однако масштаб и организованность атак вызывают удивление, добавил он.
«Злоумышленник методично запрашивал и экспортировал данные из множества сред», — добавил Михал. «Они продемонстрировали высокий уровень операционной дисциплины, выполняя структурированные запросы, целенаправленно ища учётные данные и даже пытаясь замести следы, удаляя задания. Сочетание масштаба, целенаправленности и мастерства делает эту кампанию особенной».
Согласно отчёту, опубликованному во вторник , исследователи утверждают, что группа угроз, отслеживаемая Google, похитила большие объёмы данных из клиентских экземпляров Salesforce, используя украденные токены OAuth от Salesloft Drift, стороннего чат-агента на основе искусственного интеллекта для продаж и лидов. Google заявила, что серия атак продолжалась как минимум с 8 по 18 августа.
«GTIG известно о более чем 700 потенциально пострадавших организациях», — сообщил CyberScoop Остин Ларсен, главный аналитик угроз GTIG. «Злоумышленники использовали инструмент на Python для автоматизации процесса кражи данных для каждой организации, подвергшейся атаке».
По данным Google, злоумышленники в первую очередь стремились украсть учётные данные для компрометации других систем, подключенных к первоначальным жертвам. UNC6395, в частности, искал ключи доступа к Amazon Web Services, учётные данные виртуальных частных сетей и учётные данные Snowflake.
«Используя один токен, украденный у Salesloft, злоумышленник смог получить доступ к токенам любой организации, связанной с Drift. Затем злоумышленник использовал токены Salesforce для прямого доступа к этим данным и переправки их на серверы, где искал учётные данные в открытом виде, включая пароли Amazon, Snowflake и другие», — рассказал Тайлер Маклеллан, главный аналитик по угрозам в GTIG.
По его словам, Mandiant Consulting, компания Google, занимающаяся реагированием на инциденты, не зафиксировала дальнейшего использования украденных учетных данных в ходе каких-либо текущих расследований.
Компания Salesloft подтвердила информацию о взломах в обновлении безопасности, опубликованном в понедельник, и сообщила, что все пострадавшие клиенты были уведомлены. Компания впервые опубликовала предупреждение о вредоносной активности, направленной на приложения Salesloft Drift, интегрированные с Salesforce, 19 августа.
Salesloft заявила, что совместно с Salesforce отозвала все активные токены доступа и обновления для приложения, и утверждает, что последствия атаки ограничены клиентами, интегрированными с Salesforce. Google заявила, что атаки прекратились после того, как Salesloft и Salesforce отозвали доступ 20 августа.
В своем заявлении во вторник компания Salesforce сообщила, что проблема затронула «небольшое количество клиентов», добавив, что «эта проблема возникла не из-за уязвимости в базовой платформе Salesforce, а из-за взлома соединения с приложением».
Google посоветовала клиентам Salesloft Drift, интегрированным с Salesforce, рассмотреть возможность компрометации своих данных, поискать секреты, содержащиеся в их экземплярах Salesforce, и устранить проблему путем отзыва ключей API, ротации учетных данных и дальнейшего расследования.
Google пока не установила происхождение и мотивы UNC6395. Атаки были «широкомасштабными и ситуативными, и, по всей видимости, использовались для использования любой организации, использующей интеграцию Salesloft Drift с Salesforce», — сказал Маклеллан.
Руководитель службы безопасности AppOmni Кори Михал заявил, что компрометация и злоупотребление токенами OAuth и интеграцией между облаками — давно известная «слепая зона» для большинства предприятий. Однако масштаб и организованность атак вызывают удивление, добавил он.
«Злоумышленник методично запрашивал и экспортировал данные из множества сред», — добавил Михал. «Они продемонстрировали высокий уровень операционной дисциплины, выполняя структурированные запросы, целенаправленно ища учётные данные и даже пытаясь замести следы, удаляя задания. Сочетание масштаба, целенаправленности и мастерства делает эту кампанию особенной».
