- 20,231
- 46
- 8 Ноя 2022
Одно приложение – и цепная реакция краха. Последствия будут ощущаться годами.
Масштабная кража аутентификационных токенов у компании Salesloft, разработчика корпоративного чат-бота, вызвала цепную реакцию угроз по всей цифровой инфраструктуре. Согласно предупреждению от Google, инцидент затрагивает не только данные в Salesforce, но и сотни сторонних сервисов, интегрированных с Salesloft — включая Slack, Google Workspace, Amazon S3, Microsoft Azure и OpenAI.
Salesloft, обслуживающая более 5000 клиентов, 20 августа сообщила об обнаружении проблемы в приложении Drift — именно эта технология лежит в основе чатбота, повсеместно используемого на корпоративных сайтах. В предупреждении пользователей призывали переподключить Drift к Salesforce, тем самым отозвав токены, однако тогда ещё не раскрывалось, что они уже могли быть скомпрометированы.
Лишь 26 августа группа Google Threat Intelligence Group (GTIG) официально подтвердила : неизвестные злоумышленники, обозначенные как UNC6395, начали использовать украденные токены как минимум с 8 августа, извлекая огромные объёмы информации из корпоративных инстансов Salesforce. При этом, как подчёркивается, сама платформа Salesforce не содержит уязвимостей , речь идёт именно об утечке токенов доступа.
GTIG отмечает, что хакеры активно перебирают полученные данные в поисках чувствительных материалов: ключей AWS, учётных записей <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, доступов к Snowflake и другим облачным хранилищам. Если им удастся найти рабочие учётные данные, это может привести к дальнейшему компрометированию инфраструктур как жертв, так и их партнёров.
28 августа Google обновила предупреждение, добавив, что атакующие использовали токены для доступа к почте в «небольшом числе» аккаунтов Google Workstation, специально настроенных для работы с Salesloft. GTIG настоятельно рекомендует немедленно аннулировать все токены, связанные с интеграциями Salesloft — вне зависимости от конкретного стороннего сервиса.
Google прямо заявила: все организации, использующие Salesloft Drift в связке с внешними платформами (включая, но не ограничиваясь Salesforce), должны считать свои данные скомпрометированными и принять безотлагательные меры по ликвидации последствий. В ответ Salesforce заблокировал интеграции Drift с собственной платформой, а также с Slack и Pardot.
Инцидент разворачивается на фоне масштабной социальной инженерии : злоумышленники использовали фишинг через голосовые звонки, чтобы убедить цели подключить вредоносное приложение к их инстансу Salesforce. Эта кампания уже привела к утечкам и шантажу в отношении таких компаний, как Adidas, Allianz Life и Qantas.
5 августа Google подтвердила , что один из его внутренних инстансов Salesforce был взломан в рамках этой же кампании. Группа GTIG присвоила атакующим код UNC6040. При этом сами злоумышленники утверждали, что принадлежат к известной хакерской группировке ShinyHunters и намекали на запуск сайта с утечками данных для усиления давления на жертв.
ShinyHunters давно прославились благодаря взломам облачных платформ и сторонних провайдеров. С 2020 года они публиковали десятки баз с миллионами записей на подпольных форумах, включая ныне закрытый Breachforums. Участники группировки — как предполагается, плавающий состав из англоязычных киберпреступников, активных в Telegram и Discord.
Представитель Recorded Future отметил , что инструменты и методы, используемые ShinyHunters, частично совпадают с тактиками другой известной вымогательской группы — Scattered Spider, что может указывать на пересечения в составах.
Дополнительную путаницу вносит появившийся 28 августа Telegram-канал "Scattered LAPSUS$ Hunters 4.0" с почти 40 тысячами подписчиков. Его участники неоднократно заявляли, что ответственны за взлом Salesloft, но не представили никаких доказательств. При этом канал используется для угроз в адрес специалистов по безопасности и продвижения нового киберпреступного форума "Breachstars", на котором якобы будут публиковать украденные данные, если жертвы откажутся платить выкуп.
Тем не менее, по словам Google GTIG, нет убедительных доказательств, что за атакой на Salesloft стоят ShinyHunters или другие известные группировки. Наиболее активные участники Telegram-канала, судя по всему, просто пересказывают информацию из публичных источников.
Старший технический директор Counter Hack Джошуа Райт объясняет успех подобных атак понятием «authorization sprawl» — злоумышленники используют уже действующие токены доступа легитимных пользователей, чтобы незаметно перемещаться между облачными и локальными системами . В таких случаях не требуется ни повышения привилегий, ни обхода защиты конечных точек — достаточно встроенных механизмов единого входа (SSO) и централизованной авторизации.
Как именно атакующие получили доступ ко всем токенам Drift, пока не установлено. 27 августа Salesloft привлекла сторонних специалистов для расследования инцидента.
Масштабная кража аутентификационных токенов у компании Salesloft, разработчика корпоративного чат-бота, вызвала цепную реакцию угроз по всей цифровой инфраструктуре. Согласно предупреждению от Google, инцидент затрагивает не только данные в Salesforce, но и сотни сторонних сервисов, интегрированных с Salesloft — включая Slack, Google Workspace, Amazon S3, Microsoft Azure и OpenAI.
Salesloft, обслуживающая более 5000 клиентов, 20 августа сообщила об обнаружении проблемы в приложении Drift — именно эта технология лежит в основе чатбота, повсеместно используемого на корпоративных сайтах. В предупреждении пользователей призывали переподключить Drift к Salesforce, тем самым отозвав токены, однако тогда ещё не раскрывалось, что они уже могли быть скомпрометированы.
Лишь 26 августа группа Google Threat Intelligence Group (GTIG) официально подтвердила : неизвестные злоумышленники, обозначенные как UNC6395, начали использовать украденные токены как минимум с 8 августа, извлекая огромные объёмы информации из корпоративных инстансов Salesforce. При этом, как подчёркивается, сама платформа Salesforce не содержит уязвимостей , речь идёт именно об утечке токенов доступа.
GTIG отмечает, что хакеры активно перебирают полученные данные в поисках чувствительных материалов: ключей AWS, учётных записей <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, доступов к Snowflake и другим облачным хранилищам. Если им удастся найти рабочие учётные данные, это может привести к дальнейшему компрометированию инфраструктур как жертв, так и их партнёров.
28 августа Google обновила предупреждение, добавив, что атакующие использовали токены для доступа к почте в «небольшом числе» аккаунтов Google Workstation, специально настроенных для работы с Salesloft. GTIG настоятельно рекомендует немедленно аннулировать все токены, связанные с интеграциями Salesloft — вне зависимости от конкретного стороннего сервиса.
Google прямо заявила: все организации, использующие Salesloft Drift в связке с внешними платформами (включая, но не ограничиваясь Salesforce), должны считать свои данные скомпрометированными и принять безотлагательные меры по ликвидации последствий. В ответ Salesforce заблокировал интеграции Drift с собственной платформой, а также с Slack и Pardot.
Инцидент разворачивается на фоне масштабной социальной инженерии : злоумышленники использовали фишинг через голосовые звонки, чтобы убедить цели подключить вредоносное приложение к их инстансу Salesforce. Эта кампания уже привела к утечкам и шантажу в отношении таких компаний, как Adidas, Allianz Life и Qantas.
5 августа Google подтвердила , что один из его внутренних инстансов Salesforce был взломан в рамках этой же кампании. Группа GTIG присвоила атакующим код UNC6040. При этом сами злоумышленники утверждали, что принадлежат к известной хакерской группировке ShinyHunters и намекали на запуск сайта с утечками данных для усиления давления на жертв.
ShinyHunters давно прославились благодаря взломам облачных платформ и сторонних провайдеров. С 2020 года они публиковали десятки баз с миллионами записей на подпольных форумах, включая ныне закрытый Breachforums. Участники группировки — как предполагается, плавающий состав из англоязычных киберпреступников, активных в Telegram и Discord.
Представитель Recorded Future отметил , что инструменты и методы, используемые ShinyHunters, частично совпадают с тактиками другой известной вымогательской группы — Scattered Spider, что может указывать на пересечения в составах.
Дополнительную путаницу вносит появившийся 28 августа Telegram-канал "Scattered LAPSUS$ Hunters 4.0" с почти 40 тысячами подписчиков. Его участники неоднократно заявляли, что ответственны за взлом Salesloft, но не представили никаких доказательств. При этом канал используется для угроз в адрес специалистов по безопасности и продвижения нового киберпреступного форума "Breachstars", на котором якобы будут публиковать украденные данные, если жертвы откажутся платить выкуп.
Тем не менее, по словам Google GTIG, нет убедительных доказательств, что за атакой на Salesloft стоят ShinyHunters или другие известные группировки. Наиболее активные участники Telegram-канала, судя по всему, просто пересказывают информацию из публичных источников.
Старший технический директор Counter Hack Джошуа Райт объясняет успех подобных атак понятием «authorization sprawl» — злоумышленники используют уже действующие токены доступа легитимных пользователей, чтобы незаметно перемещаться между облачными и локальными системами . В таких случаях не требуется ни повышения привилегий, ни обхода защиты конечных точек — достаточно встроенных механизмов единого входа (SSO) и централизованной авторизации.
Как именно атакующие получили доступ ко всем токенам Drift, пока не установлено. 27 августа Salesloft привлекла сторонних специалистов для расследования инцидента.
- Источник новости
- www.securitylab.ru
