Крупный инцидент с Gainsight: как уязвимость в подключенном приложении затронула сотни клиентов Salesforce

Инцидент начался, когда злоумышленники обнаружили способ использования токенов доступа, связанных с инструментами Gainsight в средах Salesforce. Эти токены позволяют приложению Gainsight читать и обновлять информацию для своих клиентов. Получив доступ к токенам, атакующие могли проникать в многочисленные организации Salesforce без компрометации основной платформы. Salesforce позже пояснила, что ядро системы осталось в безопасности. Злоумышленники не использовали уязвимость в самой платформе, а перемещались через соединение, которое клиенты ранее одобрили для приложения Gainsight. Это соединение предоставило атакующим прямой путь в каждую затронутую среду.

Поскольку многие компании используют Gainsight вместе с Salesforce, воздействие распространилось быстро. Первоначальные отчеты указывали на возможное влияние на более чем 200 клиентов. Некоторые эксперты опасаются, что это число может увеличиться по мере продолжения расследования. Атакующие не нацеливались на Salesforce напрямую, а сосредоточились на пути между Gainsight и Salesforce. Этот путь использует токены, которые позволяют приложению Gainsight взаимодействовать с клиентскими организациями Salesforce. Когда злоумышленники захватили эти токены, они могли действовать так, как если бы были самим приложением Gainsight.

Эти токены работают без участия пользователя. Они позволяют автоматизировать задачи, планировать синхронизацию и обновлять данные. Из-за этого компании часто не следят за ними внимательно, что дало атакующим незаметную точку входа. Они могли выполнять API-вызовы, читать записи и перемещаться по данным клиентов без явных предупреждений. На данном этапе не подтверждено, что атакующие напрямую захватили токены Gainsight. Однако это наиболее вероятное объяснение, основанное на рекомендациях Salesforce, комментариях аналитиков безопасности и характере активности.

В беседе с TechCrunch группа ShinyHunters, входящая в состав Scattered LAPSUS$ Hunters, заявила, что получила доступ к Gainsight через более раннюю атаку на клиентов Salesloft. Они похитили токены аутентификации Drift у этих клиентов и использовали их для доступа к связанным системам Salesforce и извлечения данных. Представитель группы отметил, что Gainsight использовал Salesloft и Drift и был полностью затронут. Gainsight подтвердил, что стал жертвой кампании, но не предоставил дополнительных деталей. Группа, стоящая за взломом, хорошо разбирается в облачных приложениях. Их сообщения в Telegram-канале указывают на осведомленность в эксплуатации доступа, инсайдеров и пробелов в идентичности для проникновения в сети. Они даже рекламируют набор сотрудников с доступом к системам, таким как Okta и Active Directory, что демонстрирует их зависимость от перемещения на основе токенов и злоупотребления идентичностью.

Scattered LAPSUS$ Hunters активно вербует инсайдеров в своем Telegram-канале. После получения рабочих токенов атакующие больше не нуждались во взломе других элементов. Они использовали те же разрешения, что и Gainsight, превращая единичный инцидент у одного поставщика в широкий доступ ко многим клиентским средам. В настоящее время взлом Gainsight связывают с группой угроз Scattered LAPSUS$ Hunters. Эта группа объединяет участников и методы из ShinyHunters, Scattered Spider и LAPSUS$. Они действуют быстро, используют развитые социальные навыки и сосредотачиваются на путях облачной идентичности вместо традиционного вредоносного ПО. Кроме того, они наслаждаются публичным вниманием, используя групповые чаты, мемы и голосовые сообщения для демонстрации уверенности и насмешек над целями.

Их Telegram-канал поддерживает эту связь. Многие сообщения в утекшем чате указывают на то, что они следят за событиями Gainsight и Salesforce в реальном времени. Они смеются над вовлеченными компаниями, solicit инсайдеров из крупных фирм и предлагают деньги за доступ к их сетям. Одно сообщение даже удваивает вознаграждение для инсайдера в CrowdStrike. В прошлых атаках группа нацеливалась на SaaS-приложения, поставщиков идентичности и системы удаленного доступа. Они, по-видимому, понимают, как облачные экосистемы зависят от токенов и подключенных приложений. Это знание делает их опасными, поскольку они могут переходить от одного поставщика ко многим клиентам с одним похищенным ключом идентичности.

Полный масштаб инцидента все еще изучается, но согласно прошлым шаблонам, тенденция ясна. Атакующие использовали похищенные токены от подключенного приложения Gainsight для доступа к данным внутри клиентских организаций Salesforce. Эти токены позволяют приложению читать и синхронизировать записи, что дало злоумышленникам контроль и возможность копировать любую информацию, которую приложение может просматривать. Это может включать детали клиентов, данные о активности и другие объекты, которые компании хранят в Salesforce через Gainsight. FAQ Gainsight подтверждает, что атакующие использовали валидные токены и выполняли API-вызовы с неожиданных местоположений. Это означает, что злоумышленники не применяли brute force к аккаунтам, а просто использовали разрешения, которые уже существовали в каждой затронутой организации.

Из-за широкого использования Gainsight воздействие распространилось быстро. Google сообщает, что более 200 организаций Salesforce были затронуты. Другие эксперты полагают, что число может расти по мере проведения аудитов. Поскольку атака произошла через доверенную интеграцию, каждая компания теперь должна проверить, к чему приложение имеет доступ в ее собственной среде. Группа SLH заявляет, что нацелилась на более чем 300 организаций. Они также стояли за более ранними атаками, связанными с Salesforce, которые использовали кражу идентичности и голосовой фишинг. После предыдущих взломов группа утверждает, что общее число жертв достигло около 1000. Однако они планируют перечислить только те компании, которые считают важными, на своей предстоящей площадке для утечек данных.

Telegram-активность дает четкое представление о поведении этой группы. Они шутят над жертвами, дразнят датами релизов и вербуют инсайдеров из многих отраслей. Они просят работников доказать доступ к инструментам, таким как AD, Okta или корпоративные VPN. Это указывает на то, что доступ к идентичности и помощь инсайдеров находятся в центре их стратегии, а не только технические эксплойты. Их посты в утекшем чате поддерживают эту модель. Данный подход согласуется с недавними новостями об инсайдере в CrowdStrike. Компания подтвердила, что сотрудник делился скриншотами внутренних систем с хакерами. CrowdStrike заявила, что инсайдер был идентифицирован и удален, и данные клиентов не были скомпрометированы. Хакеры рассказали репортерам, что предложили инсайдеру деньги и утверждали, что получили cookies аутентификации SSO до его блокировки.

Таким образом, их поведение в Telegram и случай с инсайдером в CrowdStrike указывают на одну истину. Доступ инсайдеров и злоупотребление идентичностью теперь являются основными инструментами этой группы. Они сочетают утекшие токены, похищенные идентичности и оплаченных инсайдеров для быстрого и масштабного перемещения по компаниям. Атакующие фокусируются на SaaS-приложениях, таких как Gainsight или Salesforce, потому что одно слабое звено предоставляет доступ к множеству компаний. Инструменты, подобные Gainsight, подключаются к Salesforce с сильными токенами и широкими разрешениями. Когда злоумышленники похищают эти токены, они проникают в клиентские системы без компрометации основной платформы.

SaaS-приложения также выполняют множество автоматизированных задач. Они используют долгоживущие токены и сервисные аккаунты, которые компании редко проверяют. Это делает их легкой мишенью для злоупотреблений. Утекший чат показывает, что группа предпочитает пути идентичности и доступ инсайдеров. Они фокусируются на облачных соединителях, а не на сложных технических эксплойтах. Они знают, что ссылки доверия часто являются самой слабой частью защиты компании. Для противодействия необходимо мониторить цепочку поставок SaaS с той же тщательностью, что и основные системы. Отслеживайте все подключенные приложения, проверяйте их разрешения, наблюдайте за их API-активностью и регулярно обновляйте их токены. Единая доверенная интеграция может раскрыть всю вашу среду, делая видимость цепочки поставок ключевой частью киберзащиты.

Команды безопасности должны действовать быстро, когда инцидент с подключенным приложением распространяется по облачной экосистеме. Официальные рекомендации Salesforce перечисляют несколько шагов, которые помогают компаниям обнаруживать и сдерживать активность, связанную со взломом Gainsight. Gainsight также выпустил детальный FAQ, объясняющий, как атакующие использовали валидные токены и как клиенты могут проверить свои организации на признаки неправомерного использования. Проверьте недавние API-вызовы, просмотрев всю API-активность от подключенного приложения Gainsight. Ищите вызовы с мест или IP-диапазонов, которые ваша компания не использует. Salesforce рекомендует проверять активность вне обычного географического региона и вызовы в необычное время.

Атакующие использовали активные токены обновления. Отзовите все токены, которые использует Gainsight, затем повторно авторизуйте приложение с новыми. Gainsight рекомендует этот сброс для предотвращения использования атакующими старых токенов, которые все еще сохраняют доступ. Изучите историю входов, ища логины, связанные с приложением Gainsight, которые не соответствуют ожидаемому шаблону. Статья Salesforce об инциденте объясняет, какие поля помогают обнаружить подозрительные события, такие как неожиданные IP-адреса или новые пользовательские агенты. Gainsight предлагает использовать белый список для исходящих IP-адресов от приложения. Если атакующий попытается повторно использовать токен с другого IP-адреса, запрос завершится неудачей. Это снижает вероятность скрытого злоупотребления токенами.

Проверьте области и права профиля, которые подключенное приложение имеет внутри вашей организации. Удалите любой доступ, который приложению не нужен. Принцип наименьших привилегий помогает уменьшить ущерб, даже если атакующие снова похитят токен. Просмотрите недавние изменения настроек OAuth, областей приложения или политик сессий. Salesforce отмечает, что атакующие иногда корректируют эти значения для сохранения доступа на более длительный период. Если ваша команда использует сервисные аккаунты для задач Gainsight, проверьте их активность и сбросьте их пароли. Gainsight подчеркивает, что клиенты должны рассматривать эти аккаунты как чувствительные, поскольку они часто обладают широким доступом. Ищите индикаторы компрометации, предоставленные Salesforce. Они включают подозрительные IP-адреса, необычные шаблоны использования API и специфические типы событий, связанных с инцидентом. Добавьте их в ваши SIEM или инструменты мониторинга для обнаружения повторений.

IPv4

• 104.3.11.1
• 135.134.96.76
• 146.70.171.216
• 146.70.174.69
• 169.150.203.245
• 172.113.237.48
• 198.54.135.148
• 198.54.135.197
• 198.54.135.205
• 3.239.45.43
• 45.149.173.227
• 45.66.35.35
• 65.195.105.153
• 65.195.105.81
• 65.195.111.21
• 82.163.174.83