Rabattilbud med flere licenser
Trusseldatabase Sårbarhed Salesloft-databrud

Salesloft-databrud

Med Mezo i Sårbarhed, Advanced Persistent Threat (APT)
Oversæt til:

Et omfattende cyberangreb har kompromitteret Saleslofts integration med Drift AI-chatagenten, hvilket har gjort det muligt for hackere at stjæle OAuth og opdatere tokens. Trusselsaktøren, sporet som UNC6395, udnyttede disse stjålne tokens til at bryde ind i Salesforce-kundemiljøer. Sikkerhedseksperter har identificeret over 700 organisationer som potentielt berørte.

Tidslinje for bruddet

Undersøgelser afslører, at den ondsindede aktivitet strakte sig fra 8. til 18. august 2025. I denne periode udnyttede angriberne kompromitterede OAuth-tokens knyttet til Drift til at infiltrere Salesforce-instanser. Da de var inde, eksporterede de enorme mængder virksomhedsdata med det formål at indsamle følsomme legitimationsoplysninger såsom:

  • Amazon Web Services (AWS) adgangsnøgler
  • Adgangskoder
  • Snefnug-relaterede tokens

Angrebsmetoder og handelshåndværk

Det, der får denne kampagne til at skille sig ud, er den metodiske præcision i UNC6395. De udførte ikke et enkeltstående indbrud, men lancerede i stedet strukturerede og gentagne angreb på tværs af hundredvis af Salesforce-lejere. Vigtigste observationer inkluderer:

Disciplineret udførelse – Forespørgsler blev systematisk kørt for at identificere og udtrække legitimationsoplysninger.

Operationel bevidsthed – Angriberne slettede forespørgselsjob for at skjule spor af deres aktiviteter.

Målvalg – Mange af de organisationer, der blev udsat for et brud, var teknologi- og sikkerhedsudbydere, hvilket tyder på, at dette kunne være et forsøg på infiltration i forsyningskæden.

Ved at kompromittere leverandører og tjenesteudbydere positionerede gruppen sig til at udvide angreb downstream til kundernes og partnernes økosystemer.

Svar fra Salesloft og Salesforce

Salesloft udsendte en meddelelse den 20. august 2025, hvori de anerkendte bruddet og bekræftede, at alle Drift-Salesforce-forbindelser var blevet tilbagekaldt. Salesforce fulgte op med sin egen erklæring og bemærkede, at kun et 'lille antal kunder' var direkte berørt. Begge virksomheder har taget øjeblikkelige skridt efter hændelsen:

  • Ugyldige aktive adgangs- og opdateringstokens
  • Fjernede Drift fra AppExchange
  • Samarbejdede om at inddæmme angrebet og vurdere virkningen

Salesloft understregede, at hændelsen ikke påvirker organisationer uden Salesforce-integrationer.

Bredere trusselsbillede

Salesforce-miljøer er i stigende grad blevet lukrative mål for økonomisk motiverede grupper. Andre klynger, såsom UNC6040 og UNC6240 (ShinyHunters), er kendt for at udnytte SaaS-miljøer, hvor UNC6240 endda har indgået et partnerskab med Scattered Spider (UNC3944) til indledende adgangskampagner.

Der er i øjeblikket intet bevis for, at UNC6395 forbinder den med disse grupper, hvilket gør den til en ny og særskilt trusselsgruppe. Omfanget, fokus og sofistikeringen af dens kampagne placerer den dog i samme liga som højrisikomodstandere.

Afbødning og næste skridt

Salesloft har engageret tredjepartsleverandører af sikkerhedstjenester til at understøtte undersøgelser og afhjælpningsindsatser. Virksomheden opfordrer administratorer til at gengodkende Salesforce-forbindelser for at gendanne integrationer og træffe yderligere sikkerhedsforanstaltninger.

De vigtigste anbefalinger omfatter:

  • Tilbagekaldelse og rotation af eksisterende API-nøgler
  • Genoprettelse af Drift-integrationer med nye nøgler
  • Gennemgang af logfiler for mistænkelige forespørgsler og potentiel dataeksponering
  • Udførelse af dybere undersøgelser for at bestemme virkningen

For organisationer, der administrerer Drift-forbindelser via API-nøgler, anbefales proaktiv nøglerotation kraftigt. OAuth-integrationer håndteres dog allerede direkte af Salesloft.

Sidste konklusion

Denne kampagne fremhæver de voksende risici ved tredjepartsintegrationer i SaaS-økosystemer. Ved at misbruge stjålne OAuth-tokens demonstrerede UNC6395 evnen til at udføre målrettede, skjulte og forsyningskædeorienterede operationer. Arrangementet tjener som en påmindelse om, at cloudbaserede platforme, selvom de er kraftfulde, fortsat er primære mål for trusselsaktører, der søger at udnytte tillidsrelationer på tværs af den digitale forsyningskæde.

Trending

Mest sete

Indlæser...