نقض داده Salesloft

یک حمله سایبری گسترده، ادغام Salesloft با عامل چت Drift AI را به خطر انداخته و هکرها را قادر ساخته است تا توکن‌های OAuth و refresh را بدزدند. عامل تهدید، که با نام UNC6395 ردیابی می‌شود، از این توکن‌های دزدیده شده برای نفوذ به محیط‌های مشتریان Salesforce سوءاستفاده کرده است. کارشناسان امنیتی بیش از ۷۰۰ سازمان را به عنوان سازمان‌هایی که به طور بالقوه تحت تأثیر قرار گرفته‌اند، شناسایی کرده‌اند.

جدول زمانی نقض

تحقیقات نشان می‌دهد که فعالیت مخرب از ۸ آگوست تا ۱۸ آگوست ۲۰۲۵ ادامه داشته است. در این دوره، مهاجمان از توکن‌های OAuth آسیب‌پذیر مرتبط با Drift برای نفوذ به نمونه‌های Salesforce استفاده کردند. پس از ورود، حجم عظیمی از داده‌های شرکتی را با هدف جمع‌آوری اطلاعات حساس مانند موارد زیر صادر کردند:

• کلیدهای دسترسی به سرویس‌های وب آمازون (AWS)
• رمزهای عبور
• توکن‌های مرتبط با دانه برف

روش‌های حمله و فنون تهاجمی

آنچه این کمپین را برجسته می‌کند، دقت روشمند UNC6395 است. آنها یک نفوذ یک‌باره انجام ندادند، بلکه حملات ساختاریافته و مکرری را علیه صدها مستاجر Salesforce انجام دادند. مشاهدات کلیدی عبارتند از:

اجرای منظم - پرس‌وجوها به طور سیستماتیک برای شناسایی و استخراج اعتبارنامه‌ها اجرا شدند.

آگاهی عملیاتی - مهاجمان برای پنهان کردن ردپای فعالیت‌های خود، کارهای پرس‌وجو را حذف کردند.

انتخاب هدف - بسیاری از سازمان‌های مورد نفوذ، ارائه‌دهندگان فناوری و امنیت بودند، که نشان می‌دهد این می‌تواند یک تلاش برای نفوذ به زنجیره تأمین باشد.

این گروه با به خطر انداختن فروشندگان و ارائه دهندگان خدمات، خود را در موقعیتی قرار داد که حملات خود را به اکوسیستم‌های مشتریان و شرکا گسترش دهد.

پاسخ از Salesloft و Salesforce

Salesloft در تاریخ 20 آگوست 2025 اطلاعیه‌ای صادر کرد و ضمن اذعان به این نقض امنیتی، لغو تمام ارتباطات Drift-Salesforce را تأیید نمود. Salesforce نیز در بیانیه‌ای اعلام کرد که تنها «تعداد کمی از مشتریان» مستقیماً تحت تأثیر قرار گرفته‌اند. هر دو شرکت پس از این حادثه اقدامات فوری را انجام داده‌اند:

• توکن‌های دسترسی فعال و به‌روزرسانی نامعتبر شده‌اند
• Drift از AppExchange حذف شد
• برای مهار حمله و ارزیابی تأثیر آن همکاری کردند

Salesloft تأکید کرد که این حادثه سازمان‌هایی را که با Salesforce یکپارچه‌سازی نشده‌اند، تحت تأثیر قرار نمی‌دهد.

چشم‌انداز گسترده‌تر تهدید

محیط‌های Salesforce به طور فزاینده‌ای به اهداف پرسودی برای گروه‌هایی با انگیزه مالی تبدیل شده‌اند. خوشه‌های دیگر، مانند UNC6040 و UNC6240 (ShinyHunters)، به دلیل سوءاستفاده از محیط‌های SaaS شناخته شده‌اند، به طوری که UNC6240 حتی برای کمپین‌های دسترسی اولیه با Scattered Spider (UNC3944) همکاری می‌کند.

در حال حاضر، هیچ مدرکی مبنی بر ارتباط UNC6395 با این گروه‌ها وجود ندارد، و این آن را به یک خوشه تهدید جدید و متمایز تبدیل می‌کند. با این حال، مقیاس، تمرکز و پیچیدگی کمپین آن، آن را در همان دسته از دشمنان پرخطر قرار می‌دهد.

کاهش خطر و مراحل بعدی

Salesloft از فروشندگان امنیتی شخص ثالث برای پشتیبانی از تحقیقات و تلاش‌های اصلاحی استفاده کرده است. این شرکت از مدیران می‌خواهد که اتصالات Salesforce را مجدداً تأیید هویت کنند تا ادغام‌ها بازیابی شوند و اقدامات احتیاطی امنیتی بیشتری انجام دهند.

توصیه‌های کلیدی عبارتند از:

• لغو و چرخش کلیدهای API موجود
• اتصال مجدد ادغام‌های Drift با کلیدهای جدید
• بررسی لاگ‌ها برای یافتن کوئری‌های مشکوک و احتمال افشای اطلاعات
• انجام تحقیقات عمیق‌تر برای تعیین تأثیر

برای سازمان‌هایی که اتصالات Drift را از طریق کلیدهای API مدیریت می‌کنند، چرخش پیشگیرانه کلید اکیداً توصیه می‌شود. با این حال، ادغام‌های OAuth در حال حاضر مستقیماً توسط Salesloft مورد توجه قرار گرفته‌اند.

نکته نهایی

این کمپین، خطرات رو به رشد ادغام‌های شخص ثالث در اکوسیستم‌های SaaS را برجسته می‌کند. UNC6395 با سوءاستفاده از توکن‌های OAuth دزدیده شده، توانایی انجام عملیات هدفمند، مخفیانه و زنجیره تأمین محور را نشان داد. این رویداد به عنوان یادآوری است که پلتفرم‌های مبتنی بر ابر، اگرچه قدرتمند هستند، اما همچنان اهداف اصلی بازیگران تهدیدی هستند که به دنبال سوءاستفاده از روابط اعتماد در سراسر زنجیره تأمین دیجیتال هستند.