概要
サイバー犯罪グループ「ShinyHunters」が、Scattered SpiderおよびLapsus$と連携し、自らを「Scattered Lapsus$ Hunters」と称して新たなデータ漏洩サイトを開設しました。このサイトは、Salesforceの侵害によって影響を受けた39社を公に恐喝することを目的としています。サイトには盗まれたデータのサンプルが含まれており、被害企業に対し、10月10日の期限までに連絡を取り、データの公開を防ぐよう警告しています。
ShinyHuntersはBleepingComputerに対し、「彼ら全員にはずいぶん前に連絡しており、サンプルを複数回ダウンロードしているのを確認したため、メールを見たことは分かっている。ほとんどの企業は開示せず、無視することを選択した」と語っています。漏洩サイトでは、「貴社が正しい決断を下すことを強く推奨する。貴社はデータの公開を防ぎ、状況の制御を取り戻し、すべての業務を通常通り安定させることができる。この問題を解決するための明確かつ相互に有益な機会を提示しているため、意思決定者が関与することを強く推奨する」と警告しています。
被害企業
データ漏洩サイトで恐喝の対象となっている企業には、以下の著名なブランドや組織が含まれています。
- FedEx
- Disney/Hulu
- Home Depot
- Marriott
- Cisco
- Toyota
- Gap
- McDonald’s
- Walgreens
- Instacart
- Cartier
- Adidas
- Sake Fifth Avenue
- Air France & KLM
- Transunion
- HBO MAX
- UPS
- Chanel
- IKEA
Salesforceへの要求
脅威アクターは、Salesforce自体にも身代金の支払いを要求する別の項目を追加しています。これは、約10億件の個人情報を含むすべての影響を受けた顧客データが漏洩するのを防ぐためです。彼らは、「もし応じるならば、我々は個々の顧客との現在進行中または保留中の交渉から撤退する。貴社の顧客は二度と攻撃されることはなく、我々からの身代金要求に直面することもないだろう」と述べています。
また、このグループはSalesforceに対し、データ侵害後に法律事務所がSalesforceに対して民事訴訟および商事訴訟を提起するのを支援すると脅迫し、同社が欧州一般データ保護規則(GDPR)で義務付けられている顧客データの保護に失敗したと警告しています。
攻撃の詳細と背景
「Scattered Lapsus$ Hunters」は、今年初めからSalesforceの顧客を標的としたボイスフィッシング攻撃を展開してきました。これらの攻撃では、従業員を騙して悪意のあるOAuthアプリを会社のSalesforceインスタンスにリンクさせ、接続後に攻撃者は会社のデータベースを窃取し、そのデータを利用してメールで被害者を恐喝しました。
ShinyHuntersは、近年、Snowflake、AT&T、PowerSchoolなど、数々の高プロファイルな侵害に関与してきた悪名高い恐喝グループです。彼らはまた、SalesloftのDrift AIチャット統合とSalesforceのOAuthトークンを悪用し、顧客のSalesforceインスタンスからパスワード、AWSアクセスキー、Snowflakeトークンなどの機密情報を盗んだと主張しています。これらの攻撃は、Mandiantによって「UNC6395」という別の脅威クラスターとして追跡されています。
恐喝グループに関連するTelegramチャンネルでは、10月10日にSalesloft Drift攻撃の被害企業を対象とした別のデータ漏洩サイトを開設すると主張しています。ShinyHuntersは以前、BleepingComputerに対し、Salesloftのデータ窃取攻撃が約760社に影響を与え、15億件のSalesforceレコードが盗まれたと語っています。
Salesloft攻撃によって影響を受けたとされる企業には、以下の企業が含まれます。
- Palo Alto Networks
- CyberArk
- Cloudflare
- Rubrik
- Elastic
- BeyondTrust
- Proofpoint
- JFrog
- Zscaler
- Tenable
- Nutanix
- Qualys
- Cato Networks