Google은 UNC6395로 확인 된 위협 그룹이 조직의 Salesforce 인스턴스를 대상으로 일련의 데이터 유출을 수행하고 있다고 밝혔다. Salesloft Drift 타사 응용 프로그램과 관련된 OAUTH 토큰을 손상시킴으로써 위반이 촉진되었습니다. 이 활동은 Salseforce 환경을 대상으로 한 ShinyHunters에 기인 한 이전의 vishing 공격과 구별되는 것으로 보입니다.
Google Threat Intelligence Group (GTIG)은 UNC6395가 8 월 8 일경부터 최소한 8 월 18 일부터 계속해서“광범위한 데이터 도난”캠페인을 시작했다고보고했습니다. 위협 행위자들은 Salesloft Drift Application 내에서 인증 토큰을 이용하여 판매, 분석 및 참여와 같은 판매 프로세스를 자동화하도록 설계된 AI 전력 도구를 이용했습니다.
GTIG에 따르면 UNC6395는“수많은 기업 세일 포스 인스턴스에서 많은 양의 데이터를 체계적으로 수출했습니다.” 주요 목표는 AWS (Amazon Web Services) 액세스 키 (AKIA), 암호 및 눈송이 관련 액세스 토큰을 포함한 민감한 자격 증명을 수확하는 것이 었습니다.
GTIG 블로그 게시물은 데이터를 추출한 후 “배우는 데이터를 검색하여 피해자 환경을 손상시키는 데 잠재적으로 사용될 수있는 비밀을 찾았다”고 자세히 설명했다. 그들의 활동을 숨기기 위해 위협 행위자들은 쿼리 작업을 삭제했습니다.
로그가 직접 영향을 받았다는 징후는 없지만 GTIG는 조직에 “데이터 노출 증거에 대한 관련 로그를 검토하도록 조언합니다.”
캠페인의 범위는 솔루션을 Salesforce와 통합하는 Salesloft 고객으로 제한됩니다. GTIG는 Google Cloud 고객이 직접 영향을 받았다는 증거가 없지만 Salesloft Drift를 사용하는 사람들은“Google Cloud 플랫폼 서비스 계정 키에 대한 Salesforce 객체를 검토해야합니다.”
GTIG는 “Salesforce와 통합 된 Drift를 사용하는 조직은 Salesforce 데이터가 손상되어야하며 즉각적인 치료 단계를 수행해야합니다.”
Salesloft는 Salesforce와 협력하여 드리프트 응용 프로그램과 관련된 모든 활성 액세스 및 새로 고침 토큰을 취소하여 상황을 해결했습니다. Salesforce는 또한 Salesforce AppExChange에서 “추가 통지 및 추가 조사 계류까지”에서 드리프트 응용 프로그램을 제거했습니다. GTIG, Salesforce 및 Salesloft는 모두 영향을받는 조직에 통보했습니다.
GTIG 보고서는 7 월과 8 월에 Salesforce의 제 3 자 플랫폼을 통한 3 자 플랫폼을 통한 위반에 관한 Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday 및 Google을 포함한 여러 저명한 회사의 공개에 따릅니다. ShinyHunters는 이러한 많은 공격에 대한 책임을 주장했으며, Vishing 공격은 타협 방법으로 확인되었습니다.
6 월, Google은 재정적으로 동기 부여 된 위협 그룹 인 UNC6040 (ShinyHunters와 관련된 것으로 추정되는)이 조직의 영업 사고 환경에 침투하기위한 공격에 대한 IT 지원 직원을 사칭하고 있다고보고했습니다. 8 월 초 Google은 UNC6040이 이러한 전술을 사용하여 Salesforce 사례 중 하나를 위반했다고 밝혔다.
이러한 Salesforce 위반의 타임 라인은 GTIG의 결과와 일치하지만 타협 방법은 다릅니다. Google은 UNC6395 Salesloft 드리프트 활동이 UNC6040으로 인한 vishing 공격과는 다르다고 밝혔다. GTIG 대변인은“우리는 그들을 연결하는 강력한 증거를 보지 못했습니다.”라고 확인했습니다.
GTIG는 수비수를위한 권장 사항을 제공했으며, 영향을받은 조직에 Salesforce Objects 내에서 민감한 정보 및 비밀을 검색하고 API 키 취소, 자격 증명 회전 및 비밀이 UNC6395에 의해 오용되었는지 여부를 결정하기 위해 추가 조사를 수행하는 것과 같은 적절한 조치를 취하도록 조언했습니다.
조직은 또한 Mandiant 블로그 게시물의 타협 섹션 지표에서 GTIG가 제공 한 IP 주소 및 사용자 에이전트 문자열을 검색하여 노출 된 비밀을 검색하고 타협 및 스캔을 조사해야합니다. 또한 “Tor Exit 노드에서 유래 한 모든 활동에 대한 광범위한 검색”을 구현하는 것이 좋습니다.
추가 완화 단계에는 드리프트 연결 사용자와 연결된 비정상적인 활동에 대한 Salesforce 이벤트 모니터링 로그 검토, 드리프트 연결 앱의 인증 활동 및 SOQL 쿼리를 실행 한 고유 한 이벤트가 포함됩니다.
Google은 또한 조직이 Salesforce 지원 사례를 열어 위협 행위자가 사용하는 특정 쿼리를 얻고 잠재적 비밀에 대한 Salesforce 객체를 검색 할 것을 제안합니다. 또한 발견 된 키 또는 비밀을 즉시 취소하고 회전시키고, 비밀번호를 재설정하고, 세션 설정에서 세션 타임 아웃 값을 구성하여 타협 된 세션의 수명을 제한하여 자격 증명을 회전시켜야합니다.
Google은 애플리케이션에 필요한 최소의 권한을 갖고 연결된 앱에서 IP 제한을 시행하며 신뢰할 수있는 네트워크에서만 액세스 할 수 있도록 로그인 IP 범위를 정의하여 액세스 컨트롤을 강화 할 것을 권장했습니다.
Source: Google : UNC6395 Salesloft 드리프트를 통해 Salesforce를 위반합니다
