組織内のSalesforceインスタンスが、大量のデータを侵害し、恐喝行為を働くことを目的としたボイスフィッシング(ビッシング)キャンペーンの標的となっています。UNC6040として知られるこの脅威は、ビッシングキャンペーンを追跡しているGoogle Threat Intelligence Group(GTIG)によると、過去数ヶ月にわたり「ITサポート担当者を装い、電話によるソーシャルエンジニアリングで説得力のある攻撃を仕掛けることで、ネットワークへの侵入に繰り返し成功している」とのことです。
UNC6040は、従業員を騙して機密性の高い認証情報を共有させ、最終的には組織のSalesforceデータを窃取する点で「特に効果的であることが証明されている」。標的となるのは、多国籍企業の英語圏の支店であることが多い。
「過去1年間、初期アクセスにフィッシングが利用されるケースが増加していることを確認しています」と、GTIGのサイバー犯罪およびハクティビズム分析責任者であるジェネビーブ・スターク氏はTechRepublicに語った。「こうしたインシデントの多くは、アカウント管理やソフトウェアのインストールといった高い権限を持つITサポートスタッフを標的にしています。」
GTIGによれば、現在までに約20の組織が影響を受けているという。
被害者は知らないうちに不正なデータローダーアプリを承認してしまう
攻撃者は被害者を騙して、悪意のある接続アプリ(多くの場合、Salesforce のデータローダーの不正な改変版)が組織の Salesforce ポータルにアクセスできるように許可させます。
Salesforce は、プラットフォーム内で大量のデータを効率的にインポート、エクスポート、更新できるように Data Loader を設計しました。
フィッシング攻撃の電話中に、攻撃者は被害者をSalesforceの接続アプリケーション設定ページに誘導し、正規のバージョンとは異なる名前またはブランドを持つデータローダーアプリのバージョンを承認させます。この手順により、UNC6040は侵害されたSalesforce顧客環境から直接機密情報にアクセスし、クエリを実行し、盗み出すという重要な権限を意図せず付与されてしまいます。
場合によっては、UNC6040 が Salesforce へのアクセス権を取得してから数か月経過するまで恐喝の試みが確認できないこともあり、GTIG は「これは、UNC6040 が盗んだデータへのアクセスを収益化する第 2 の脅威アクターと提携していることを示唆している可能性がある」と述べています。
ビッシング脅威はユーザーの認証情報とMFA認証コードを狙う
UNC6040は、Salesforceプラットフォーム上のアプリケーションを利用してOktaのフィッシングパネルにアクセスすることで、ラテラルムーブメントを実証しました。被害者は、ソーシャルエンジニアリングの通話中に、携帯電話や職場のコンピュータからこのパネルにアクセスするように誘導されます。
UNC6040 は、Salesforce Data Loader アプリケーションを認証して追加するために、データの流出とさらなる横方向の移動を容易にするユーザー資格情報と多要素認証 (MFA) コードも直接要求しました。
フィッシング攻撃を減らす方法
フィッシング攻撃を実行する脅威アクターは、ソーシャルエンジニアリング戦術を利用してアカウントのパスワードをリセットすることが多いため、Stark は組織がリスクを軽減するために次のヒントに従うことを推奨しています。
- 厳格な身元確認: 特に特権アカウントの場合、アカウントの変更やセキュリティ上重要な情報の共有を行う前に、サービス デスク担当者に従業員の身元を確認するようトレーニングします。
- 最小限の権限を適用する: 特にデータ アクセス ツールについては、ユーザーに必要な権限のみを付与します。
- 帯域外検証を実装する: MFA のリセットや特権パスワードの変更などのリスクの高い変更については、コールバックや企業の電子メール確認などの二次的な検証方法を使用します。
- IP ベースのアクセス制限を適用する: 商用 VPN からのアクセスも含め、不正なアクセス試行を制限します。
