Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Τρωτό Παραβίαση δεδομένων Salesloft

Παραβίαση δεδομένων Salesloft

Μέχρι το Mezo το Τρωτό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια μεγάλης κλίμακας κυβερνοεπίθεση έθεσε σε κίνδυνο την ενσωμάτωση της Salesloft με τον παράγοντα συνομιλίας Drift AI, επιτρέποντας σε χάκερ να κλέψουν OAuth και να ανανεώσουν τα διακριτικά. Ο απειλητικός παράγοντας, που παρακολουθείται ως UNC6395, εκμεταλλεύτηκε αυτά τα κλεμμένα διακριτικά για να παραβιάσει τα περιβάλλοντα πελατών της Salesforce. Οι ειδικοί ασφαλείας έχουν εντοπίσει πάνω από 700 οργανισμούς ως πιθανώς επηρεασμένους.

Χρονολόγιο της παραβίασης

Οι έρευνες αποκαλύπτουν ότι η κακόβουλη δραστηριότητα εκτείνεται από τις 8 Αυγούστου έως τις 18 Αυγούστου 2025. Κατά τη διάρκεια αυτής της περιόδου, οι εισβολείς αξιοποίησαν παραβιασμένα διακριτικά OAuth που συνδέονταν με το Drift για να διεισδύσουν σε παρουσίες Salesforce. Μόλις εισέβαλαν, εξήγαγαν τεράστιες ποσότητες εταιρικών δεδομένων, με στόχο τη συλλογή ευαίσθητων διαπιστευτηρίων, όπως:

  • Κλειδιά πρόσβασης για τις Υπηρεσίες Web της Amazon (AWS)
  • Κωδικοί πρόσβασης
  • Διακριτικά που σχετίζονται με τη Χιονονιφάδα

Μέθοδοι Επίθεσης και Εμπορική Τεχνολογία

Αυτό που κάνει αυτήν την καμπάνια να ξεχωρίζει είναι η μεθοδική ακρίβεια του UNC6395. Δεν πραγματοποίησαν μια μεμονωμένη εισβολή, αλλά αντ' αυτού εξαπέλυσαν δομημένες και επαναλαμβανόμενες επιθέσεις σε εκατοντάδες ενοικιαστές του Salesforce. Οι βασικές παρατηρήσεις περιλαμβάνουν:

Πειθαρχημένη εκτέλεση – Τα ερωτήματα εκτελούνταν συστηματικά για τον εντοπισμό και την εξαγωγή διαπιστευτηρίων.

Επιχειρησιακή επίγνωση – Οι επιτιθέμενοι διέγραψαν εργασίες ερωτημάτων για να αποκρύψουν ίχνη των δραστηριοτήτων τους.

Επιλογή στόχου – Πολλοί από τους οργανισμούς που παραβιάστηκαν ήταν πάροχοι τεχνολογίας και ασφάλειας, γεγονός που υποδηλώνει ότι θα μπορούσε να πρόκειται για απόπειρα διείσδυσης στην αλυσίδα εφοδιασμού.

Θέτοντας σε κίνδυνο προμηθευτές και παρόχους υπηρεσιών, η ομάδα τοποθετήθηκε ώστε να επεκτείνει τις επιθέσεις σε οικοσυστήματα πελατών και συνεργατών.

Απάντηση από το Salesloft και το Salesforce

Η Salesloft εξέδωσε μια ειδοποίηση στις 20 Αυγούστου 2025, αναγνωρίζοντας την παραβίαση και επιβεβαιώνοντας ότι είχε ανακαλέσει όλες τις συνδέσεις Drift-Salesforce. Η Salesforce ακολούθησε με τη δική της δήλωση, σημειώνοντας ότι μόνο ένας «μικρός αριθμός πελατών» επηρεάστηκε άμεσα. Και οι δύο εταιρείες έλαβαν άμεσα μέτρα μετά το περιστατικό:

  • Ακυρωμένα ενεργά διακριτικά πρόσβασης και ανανέωσης
  • Αφαιρέθηκε το Drift από το AppExchange
  • Συνεργάστηκαν για τον περιορισμό της επίθεσης και την αξιολόγηση των επιπτώσεων

Η Salesloft τόνισε ότι το περιστατικό δεν επηρεάζει οργανισμούς χωρίς ενσωματώσεις του Salesforce.

Ευρύτερο τοπίο απειλών

Τα περιβάλλοντα Salesforce έχουν γίνει ολοένα και πιο επικερδείς στόχοι για ομάδες με οικονομικά κίνητρα. Άλλα clusters, όπως τα UNC6040 και UNC6240 (ShinyHunters), είναι γνωστά για την αξιοποίηση περιβαλλόντων SaaS, με το UNC6240 να συνεργάζεται ακόμη και με το Scattered Spider (UNC3944) για καμπάνιες αρχικής πρόσβασης.

Προς το παρόν, δεν υπάρχουν στοιχεία που να συνδέουν την UNC6395 με αυτές τις ομάδες, καθιστώντας την μια νέα και ξεχωριστή ομάδα απειλών. Η κλίμακα, η εστίαση και η πολυπλοκότητα της εκστρατείας της, ωστόσο, την κατατάσσουν στην ίδια κατηγορία αντιπάλων υψηλού κινδύνου.

Μετριασμός και Επόμενα Βήματα

Η Salesloft έχει προσλάβει τρίτους προμηθευτές ασφαλείας για να υποστηρίξουν έρευνες και προσπάθειες αποκατάστασης. Η εταιρεία προτρέπει τους διαχειριστές να επαναλάβουν την επαλήθευση των συνδέσεων του Salesforce για την επαναφορά των ενσωματώσεων και τη λήψη πρόσθετων προφυλάξεων ασφαλείας.

Οι βασικές συστάσεις περιλαμβάνουν:

  • Ανάκληση και εναλλαγή υπαρχόντων κλειδιών API
  • Επανασύνδεση ενσωματώσεων Drift με νέα κλειδιά
  • Έλεγχος αρχείων καταγραφής για ύποπτα ερωτήματα και πιθανή έκθεση δεδομένων
  • Διεξαγωγή εις βάθος ερευνών για τον προσδιορισμό των επιπτώσεων

Για οργανισμούς που διαχειρίζονται συνδέσεις Drift μέσω κλειδιών API, συνιστάται ανεπιφύλακτα η προληπτική εναλλαγή κλειδιών. Ωστόσο, οι ενσωματώσεις OAuth αντιμετωπίζονται ήδη απευθείας από το Salesloft.

Τελικό πακέτο

Αυτή η καμπάνια υπογραμμίζει τους αυξανόμενους κινδύνους των ενσωματώσεων τρίτων μερών εντός των οικοσυστημάτων SaaS. Κάνοντας κατάχρηση κλεμμένων διακριτικών OAuth, το UNC6395 επέδειξε την ικανότητα να εκτελεί στοχευμένες, αθόρυβες και προσανατολισμένες στην αλυσίδα εφοδιασμού λειτουργίες. Η εκδήλωση χρησιμεύει ως υπενθύμιση ότι οι πλατφόρμες που βασίζονται στο cloud, αν και ισχυρές, παραμένουν πρωταρχικοί στόχοι για τους απειλητικούς παράγοντες που επιδιώκουν να εκμεταλλευτούν τις σχέσεις εμπιστοσύνης σε ολόκληρη την ψηφιακή αλυσίδα εφοδιασμού.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,927
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...