Googleは6月4日(米国時間)、「The Cost of a Call: From Voice Phishing to Data Extortion|Google Cloud Blog」において、Salesforceインスタンスへの侵入を目的とするビッシング(音声フィッシング)キャンペーンについて注意を喚起した。
同社の脅威インテリジェンスグループ(GTIG: Google Threat Intelligence Group)は、このキャンペーンの脅威グループを「UNC6040」として追跡しており、今回はその攻撃手法、影響、緩和策について調査レポートを公開している。
-
The Cost of a Call: From Voice Phishing to Data Extortion|Google Cloud Blog
巧みなソーシャルエンジニアリング手法
公開されたレポートによると、UNC6040はSalesforceポータルへの接続アプリケーションを承認させる手法を使用して侵入したとされる。攻撃者はITサポート担当者になりすまして電話をかけ、被害者を言葉巧みに操作してSalesforceのデータローダーの改変版を承認させたという。
承認後はSalesforce顧客環境から不正アクセスやクエリーの実行などが可能になり、機密情報を窃取できるようになる。Googleは観察されたすべてのケースでこのビッシング手法を確認したとしている。
UNC6040は執拗に機密情報を窃取する傾向がみられ、機密情報の入手に成功した後もその情報から認証情報を抽出して被害者のネットワークを横移動し、OktaやMicrosoft 365など、他のクラウドプラットフォームからさらに多くの機密情報を窃取したとされる。
-
UNC6040の侵害経路 - 引用: Google(Mandiant)
Ankerモバイルバッテリーがリコール
