Оферта за отстъпка за множество лицензи
База данни за заплахи Уязвимост Нарушение на данните на Salesloft

Нарушение на данните на Salesloft

До Mezo през Уязвимост, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Мащабна кибератака компрометира интеграцията на Salesloft с чат агента Drift AI, позволявайки на хакерите да откраднат OAuth и токени за обновяване. Злоумишленикът, проследен като UNC6395, е използвал тези откраднати токени, за да проникне в клиентските среди на Salesforce. Експерти по сигурността са идентифицирали над 700 организации като потенциално засегнати.

Хронология на нарушението

Разследванията разкриват, че злонамерената дейност е обхващала периода от 8 до 18 август 2025 г. През този период нападателите са използвали компрометирани OAuth токени, свързани с Drift, за да проникнат в инстанции на Salesforce. Веднъж влезли вътре, те са експортирали огромни количества корпоративни данни с цел да съберат чувствителни идентификационни данни, като например:

  • Ключове за достъп до Amazon Web Services (AWS)
  • Пароли
  • Токени, свързани със снежинки

Методи за атака и занаяти

Това, което отличава тази кампания, е методичната прецизност на UNC6395. Те не извършиха еднократно проникване, а вместо това стартираха структурирани и повтарящи се атаки срещу стотици наематели на Salesforce. Ключови наблюдения включват:

Дисциплинирано изпълнение – Систематично се изпълняваха заявки за идентифициране и извличане на идентификационни данни.

Оперативна осведоменост – Нападателите са изтрили задания за заявки, за да скрият следи от дейността си.

Избор на цел – Много от организациите, в които е нарушена сигурността, са били доставчици на технологии и сигурност, което предполага, че това може да е опит за проникване във веригата за доставки.

Чрез компрометиране на доставчици и доставчици на услуги, групата се позиционира така, че да може да разшири атаките надолу по веригата към екосистемите на клиентите и партньорите.

Отговор от Salesloft и Salesforce

На 20 август 2025 г. Salesloft издаде предупреждение, в което признава нарушението и потвърждава, че е прекратила всички връзки между Drift и Salesforce. Salesforce последва със собствено изявление, отбелязвайки, че само „малък брой клиенти“ са били пряко засегнати. И двете компании предприеха незабавни стъпки след инцидента:

  • Невалидни активни токени за достъп и опресняване
  • Премахнат е Drift от AppExchange
  • Сътрудничиха си за овладяване на атаката и оценка на въздействието

Salesloft подчерта, че инцидентът не засяга организации без Salesforce интеграции.

По-широк пейзаж на заплахите

Salesforce средите все повече се превръщат в доходоносни цели за финансово мотивирани групи. Други клъстери, като UNC6040 и UNC6240 (ShinyHunters), са известни с използването на SaaS среди, като UNC6240 дори си партнира със Scattered Spider (UNC3944) за първоначални кампании за достъп.

В момента няма доказателства, свързващи UNC6395 с тези групи, което го прави нов и отделен клъстер от заплахи. Мащабът, фокусът и сложността на кампанията му обаче го поставят в същата лига от високорискови противници.

Смекчаване и следващи стъпки

Salesloft е ангажирала външни доставчици на решения за сигурност, за да подпомогне разследванията и усилията за отстраняване на проблеми. Компанията настоятелно призовава администраторите да удостоверят отново връзките на Salesforce, за да възстановят интеграциите и да вземат допълнителни предпазни мерки за сигурност.

Ключовите препоръки включват:

  • Анулиране и ротиране на съществуващи API ключове
  • Повторно свързване на Drift интеграции с нови ключове
  • Преглед на лог файлове за подозрителни заявки и потенциално излагане на данни
  • Извършване на по-задълбочени проучвания за определяне на въздействието

За организации, управляващи Drift връзки чрез API ключове, силно се препоръчва проактивна ротация на ключовете. OAuth интеграциите обаче вече се разглеждат директно от Salesloft.

Заключение

Тази кампания подчертава нарастващите рискове от интеграциите на трети страни в SaaS екосистемите. Чрез злоупотреба с откраднати OAuth токени, UNC6395 демонстрира способността си да извършва целенасочени, скрити и ориентирани към веригата за доставки операции. Събитието служи като напомняне, че облачните платформи, макар и мощни, остават основни цели за злонамерените лица, които се стремят да експлоатират доверителни взаимоотношения в цялата дигитална верига за доставки.

Тенденция

Най-гледан

Зловреден софтуер

Фишинг, Спам
35,927
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...