Компания Zscaler предупредила о кибератаке, в результате которой злоумышленники получили доступ к ее Salesforce инфраструктуре и украли информацию клиентов, включая содержимое обращений в службу поддержки.
Это предупреждение следует за компрометацией Salesloft Drift, ИИ-чата, интегрированного с Salesforce, в ходе которой атакующие украли OAuth и токены обновления, что позволило им получить доступ к клиентским данным Salesforce и выкрасть конфиденциальные данные.
В своем уведомлении Zscaler сообщает, что ее Salesforce пострадал от этой атаки через поставщика услуг, что привело к компрометации информации клиентов.
"В рамках этой кампании неавторизованные акторы получили доступ к учетным данным Salesloft Drift своих клиентов, включая Zscaler," — говорится в уведомлении Zscaler.
"После детального обзора в рамках нашего продолжающегося расследования мы пришли к выводу, что эти учетные данные позволили ограниченный доступ к некоторой информации Zscaler в Salesforce."
Компрометированная информация включает:
Компания подчеркивает, что утечка данных затронула только ее Salesforce, и не повлияла на продукты, услуги или инфраструктуру Zscaler. Хотя Zscaler утверждает, что не выявила злоупотреблений этой информацией, она рекомендует клиентам оставаться бдительными к потенциальным фишинговым и социальным инженеринговым атакам, которые могут использовать эту информацию.
Компания также сообщает, что аннулировала все интеграции Salesloft Drift с ее экземпляром Salesforce, обновила другие API-токены и проводит расследование инцидента.
Zscaler также усилила протокол аутентификации клиентов при ответе на обращения в службу поддержки для защиты от социальных инженеринговых атак.
Недавно Google Threat Intelligence предупредила, что угроза, отслеживаемая как UNC6395, стоит за этими атаками, крадя обращения в службу поддержки для получения токенов аутентификации, паролей и секретов, разделенных клиентами при запросе поддержки.
"Google Threat Intelligence наблюдала, как UNC6395 целенаправленно атаковала чувствительные учетные данные, такие как ключи доступа Amazon Web Services (AWS), пароли и токены доступа Snowflake," — сообщает Google.
"UNC6395 продемонстрировала осведомленность об операционной безопасности, удалив задачи запросов, хотя логи не были затронуты, и организации все еще должны проверить соответствующие логи на предмет признаков компрометации данных."
Позже стало известно, что атака на цепочку поставок Salesloft затронула не только интеграцию Drift с Salesforce, но и Drift Email, используемую для управления ответами на электронную почту и организации баз данных CRM и маркетинговой автоматизации.
Google предупредила на прошлой неделе, что атакующие также использовали украденные OAuth-токены для доступа к аккаунтам электронной почты Google Workspace и чтения электронной почты в рамках этой утечки.
Google и Salesforce временно отключили свои интеграции Drift до завершения расследования.
Некоторые исследователи сообщили BleepingComputer, что, по их мнению, компрометация Salesloft Drift совпадает с недавними атаками на Salesforce, связанными с группой вымогателей ShinyHunters.
С начала года угроза проводила социальные инженеринговые атаки для взлома экземпляров Salesforce и загрузки данных.
В ходе этих атак угроза проводила голосовой фишинг (vishing) для обмана сотрудников на связывание вредоносного OAuth-приложения с экземплярами Salesforce их компаний.
После подключения угроза использовала соединение для загрузки и кражи баз данных, которые затем использовались для вымогательства у компаний через электронную почту.
С момента первого сообщения Google о таких атаках в июне было установлено, что множество утечек данных связано с социальными инженеринговыми атаками, включая Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life, а также дочерние компании LVMH Louis Vuitton, Dior и Tiffany & Co.
Источник: https://www.bleepingcomputer[.]com/...stomer-info-after-salesloft-drift-compromise/
Это предупреждение следует за компрометацией Salesloft Drift, ИИ-чата, интегрированного с Salesforce, в ходе которой атакующие украли OAuth и токены обновления, что позволило им получить доступ к клиентским данным Salesforce и выкрасть конфиденциальные данные.
В своем уведомлении Zscaler сообщает, что ее Salesforce пострадал от этой атаки через поставщика услуг, что привело к компрометации информации клиентов.
"В рамках этой кампании неавторизованные акторы получили доступ к учетным данным Salesloft Drift своих клиентов, включая Zscaler," — говорится в уведомлении Zscaler.
"После детального обзора в рамках нашего продолжающегося расследования мы пришли к выводу, что эти учетные данные позволили ограниченный доступ к некоторой информации Zscaler в Salesforce."
Компрометированная информация включает:
- Имена
- Рабочие адреса электронной почты
- Должности
- Телефонные номера
- Региональные/локационные данные
- Информация о лицензиях и коммерческих продуктах Zscaler
- Содержание некоторых обращений в службу поддержки
Компания подчеркивает, что утечка данных затронула только ее Salesforce, и не повлияла на продукты, услуги или инфраструктуру Zscaler. Хотя Zscaler утверждает, что не выявила злоупотреблений этой информацией, она рекомендует клиентам оставаться бдительными к потенциальным фишинговым и социальным инженеринговым атакам, которые могут использовать эту информацию.
Компания также сообщает, что аннулировала все интеграции Salesloft Drift с ее экземпляром Salesforce, обновила другие API-токены и проводит расследование инцидента.
Zscaler также усилила протокол аутентификации клиентов при ответе на обращения в службу поддержки для защиты от социальных инженеринговых атак.
Недавно Google Threat Intelligence предупредила, что угроза, отслеживаемая как UNC6395, стоит за этими атаками, крадя обращения в службу поддержки для получения токенов аутентификации, паролей и секретов, разделенных клиентами при запросе поддержки.
"Google Threat Intelligence наблюдала, как UNC6395 целенаправленно атаковала чувствительные учетные данные, такие как ключи доступа Amazon Web Services (AWS), пароли и токены доступа Snowflake," — сообщает Google.
"UNC6395 продемонстрировала осведомленность об операционной безопасности, удалив задачи запросов, хотя логи не были затронуты, и организации все еще должны проверить соответствующие логи на предмет признаков компрометации данных."
Позже стало известно, что атака на цепочку поставок Salesloft затронула не только интеграцию Drift с Salesforce, но и Drift Email, используемую для управления ответами на электронную почту и организации баз данных CRM и маркетинговой автоматизации.
Google предупредила на прошлой неделе, что атакующие также использовали украденные OAuth-токены для доступа к аккаунтам электронной почты Google Workspace и чтения электронной почты в рамках этой утечки.
Google и Salesforce временно отключили свои интеграции Drift до завершения расследования.
Некоторые исследователи сообщили BleepingComputer, что, по их мнению, компрометация Salesloft Drift совпадает с недавними атаками на Salesforce, связанными с группой вымогателей ShinyHunters.
С начала года угроза проводила социальные инженеринговые атаки для взлома экземпляров Salesforce и загрузки данных.
В ходе этих атак угроза проводила голосовой фишинг (vishing) для обмана сотрудников на связывание вредоносного OAuth-приложения с экземплярами Salesforce их компаний.
После подключения угроза использовала соединение для загрузки и кражи баз данных, которые затем использовались для вымогательства у компаний через электронную почту.
С момента первого сообщения Google о таких атаках в июне было установлено, что множество утечек данных связано с социальными инженеринговыми атаками, включая Google, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life, а также дочерние компании LVMH Louis Vuitton, Dior и Tiffany & Co.
Источник: https://www.bleepingcomputer[.]com/...stomer-info-after-salesloft-drift-compromise/