다중 라이센스 할인 견적
위협 데이터베이스 취약성 Salesloft 데이터 침해

Salesloft 데이터 침해

취약성, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

대규모 사이버 공격으로 Salesloft와 Drift AI 채팅 에이전트의 통합이 손상되어 해커가 OAuth를 훔치고 토큰을 갱신할 수 있게 되었습니다. UNC6395로 추적된 이 위협 행위자는 이렇게 훔친 토큰을 악용하여 Salesforce 고객 환경에 침투했습니다. 보안 전문가들은 700개 이상의 조직이 잠재적으로 영향을 받을 수 있다고 파악했습니다.

침해 타임라인

조사 결과, 악성 활동은 2025년 8월 8일부터 8월 18일까지 진행된 것으로 밝혀졌습니다. 이 기간 동안 공격자는 Drift에 연결된 손상된 OAuth 토큰을 활용하여 Salesforce 인스턴스에 침투했습니다. 침투 후, 공격자는 다음과 같은 민감한 자격 증명을 수집하기 위해 막대한 양의 기업 데이터를 유출했습니다.

  • Amazon Web Services(AWS) 액세스 키
  • 비밀번호
  • 눈송이 관련 토큰

공격 방법 및 기술

이 캠페인의 가장 큰 특징은 UNC6395의 체계적인 정밀성입니다. 이들은 일회성 침입을 수행하지 않고 수백 개의 Salesforce 테넌트에 대해 체계적이고 반복적인 공격을 감행했습니다. 주요 관찰 결과는 다음과 같습니다.

엄격한 실행 – 자격 증명을 식별하고 추출하기 위해 체계적으로 쿼리를 실행했습니다.

운영 인식 – 공격자는 자신의 활동 흔적을 숨기기 위해 쿼리 작업을 삭제했습니다.

대상 선택 – 침해를 당한 조직 중 다수가 기술 및 보안 제공업체였으며, 이는 공급망 침투 시도일 가능성이 있음을 시사합니다.

이 그룹은 공급업체와 서비스 제공업체를 침해함으로써 고객 및 파트너 생태계로 공격을 확대할 수 있는 입지를 굳혔습니다.

Salesloft 및 Salesforce의 응답

Salesloft는 2025년 8월 20일, 침해 사실을 인정하고 Drift와 Salesforce의 모든 연결을 해제했음을 알리는 공지를 발표했습니다. Salesforce는 이에 이어 자체 성명을 발표하며 '소수의 고객'만 직접적인 영향을 받았다고 밝혔습니다. 두 회사 모두 사고 발생 후 즉각적인 조치를 취했습니다.

  • 무효화된 활성 액세스 및 새로 고침 토큰
  • AppExchange에서 Drift 제거
  • 공격을 억제하고 영향을 평가하기 위해 협력했습니다.

Salesloft는 이 사건이 Salesforce 통합이 없는 조직에는 영향을 미치지 않는다고 강조했습니다.

더 광범위한 위협 환경

Salesforce 환경은 재정적으로 이득을 보는 집단에게 점점 더 수익성이 높은 공격 대상이 되고 있습니다. UNC6040과 UNC6240(ShinyHunters)과 같은 다른 클러스터는 SaaS 환경을 악용하는 것으로 알려져 있으며, UNC6240은 초기 접근 캠페인을 위해 Scattered Spider(UNC3944)와 파트너십을 맺기도 했습니다.

현재 UNC6395가 이러한 조직들과 연관되어 있다는 증거는 없으며, 이는 새롭고 독특한 위협 집단으로 분류됩니다. 그러나 그 활동의 규모, 집중도, 그리고 정교함은 UNC6395를 고위험 적대 세력과 동등한 수준으로 분류합니다.

완화 및 다음 단계

Salesloft는 조사 및 복구 작업을 지원하기 위해 타사 보안 업체와 협력하고 있습니다. Salesloft는 관리자에게 Salesforce 연결을 재인증하여 통합을 복원하고 추가적인 보안 조치를 취할 것을 촉구하고 있습니다.

주요 권장 사항은 다음과 같습니다.

  • 기존 API 키 취소 및 순환
  • 새로운 키로 Drift 통합 다시 연결
  • 의심스러운 쿼리 및 잠재적인 데이터 노출에 대한 로그 검토
  • 영향을 확인하기 위해 더 심층적인 조사를 수행합니다.

API 키를 통해 Drift 연결을 관리하는 조직의 경우, 사전 키 순환을 강력히 권장합니다. 하지만 Salesloft는 이미 OAuth 통합을 직접 지원하고 있습니다.

마지막 테이크어웨이

이 캠페인은 SaaS 생태계 내 서드파티 통합의 위험성이 커지고 있음을 보여줍니다. UNC6395는 도난된 OAuth 토큰을 악용하여 표적화된 은밀하고 공급망 중심적인 작전을 수행할 수 있는 역량을 보여주었습니다. 이 사건은 클라우드 기반 플랫폼이 강력함에도 불구하고 디지털 공급망 전반의 신뢰 관계를 악용하려는 위협 행위자들의 주요 표적이 여전히 남아 있음을 다시 한번 일깨워줍니다.

트렌드

Getdispadsshop.com

불량 웹사이트, 애드웨어
부주의한 클릭 한 번으로 사기, 악성 코드, 그리고 데이터 유출의 위험이 도사리고 있습니다. 악성 웹사이트는 종종 정상적인 기능을 모방하여 사용자가 자신도 모르게 유해한 행동을 하도록 유도합니다. 사기성 알림과 가짜 CAPTCHA 프롬프트를 통해 신뢰와 주의력 격차를 악용하도록 제작된 악성 페이지인 Getdispadsshop.com이 그 예입니다....

LockBeast 랜섬웨어

랜섬웨어
랜섬웨어는 조직과 개인 사용자 모두에게 가장 파괴적인 사이버 위협 중 하나입니다. 단 한 번의 성공적인 침입만으로도 비즈니스 크리티컬 데이터가 잠기고, 운영이 중단되며, 막대한 비용이 소요되는 사고 대응 및 복구 작업이 시작될 수 있습니다. 랜섬웨어 확산 이전에 다층적인 방어 체계와 대응 태세를 구축하는 것은 사건의 확산을 막느냐, 위기로 치닫느냐를...

Glsadz.com

애드웨어
인터넷을 탐색할 때 의심스러운 활동에 주의를 기울이는 것은 좋은 습관일 뿐만 아니라 필수적입니다. Glsadz.com과 같은 악성 웹사이트는 일반적인 사용자 습관과 신뢰를 악용하여 악성 콘텐츠를 유포하고, 사기를 치고, 민감한 데이터를 수집합니다. 단 한 번의 부주의한 클릭만으로도 원치 않는 리디렉션, 방해가 되는 알림, 위험한 제안으로 이어질 수...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
58,024
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
44,129
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
43,967
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...