Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan Pelanggaran Data Salesloft

Pelanggaran Data Salesloft

Menjelang Mezo pada Keterdedahan, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Serangan siber berskala besar telah menjejaskan integrasi Salesloft dengan ejen sembang Drift AI, membolehkan penggodam mencuri OAuth dan menyegarkan semula token. Aktor ancaman, yang dijejaki sebagai UNC6395, mengeksploitasi token yang dicuri ini untuk melanggar persekitaran pelanggan Salesforce. Pakar keselamatan telah mengenal pasti lebih 700 organisasi sebagai berpotensi terjejas.

Garis masa Pelanggaran

Siasatan mendedahkan bahawa aktiviti berniat jahat itu berlangsung dari 8 Ogos hingga 18 Ogos 2025. Dalam tempoh ini, penyerang memanfaatkan token OAuth terjejas yang dikaitkan dengan Drift untuk menyusup contoh Salesforce. Setelah masuk, mereka mengeksport sejumlah besar data korporat, bertujuan untuk mengumpul bukti kelayakan sensitif seperti:

  • Kunci akses Perkhidmatan Web Amazon (AWS).
  • Kata laluan
  • Token berkaitan kepingan salji

Kaedah Serangan dan Tradecraft

Apa yang membuatkan kempen ini menonjol adalah ketepatan kaedah UNC6395. Mereka tidak melakukan pencerobohan sekali sahaja tetapi sebaliknya melancarkan serangan berstruktur dan berulang merentasi ratusan penyewa Salesforce. Pemerhatian utama termasuk:

Pelaksanaan berdisiplin – Pertanyaan dijalankan secara sistematik untuk mengenal pasti dan mengekstrak bukti kelayakan.

Kesedaran operasi – Penyerang memadamkan kerja pertanyaan untuk menyembunyikan kesan aktiviti mereka.

Pemilihan sasaran - Banyak organisasi yang dilanggar adalah penyedia teknologi dan keselamatan, mencadangkan ini boleh menjadi percubaan penyusupan rantaian bekalan.

Dengan menjejaskan vendor dan penyedia perkhidmatan, kumpulan itu meletakkan dirinya untuk mengembangkan serangan hiliran ke dalam ekosistem pelanggan dan rakan kongsi.

Maklum balas Daripada Salesloft dan Salesforce

Salesloft mengeluarkan nasihat pada 20 Ogos 2025, mengakui pelanggaran itu dan mengesahkan bahawa ia telah membatalkan semua sambungan Drift–Salesforce. Salesforce diikuti dengan kenyataannya sendiri, dengan menyatakan bahawa hanya 'sebilangan kecil pelanggan' terjejas secara langsung. Kedua-dua syarikat telah mengambil langkah segera berikutan insiden itu:

  • Token Akses dan Muat Semula Aktif yang tidak sah
  • Mengalih keluar Drift daripada AppExchange
  • Bekerjasama untuk membendung serangan dan menilai kesannya

Salesloft menekankan bahawa kejadian itu tidak menjejaskan organisasi tanpa penyepaduan Salesforce.

Landskap Ancaman yang Lebih Luas

Persekitaran Salesforce semakin menjadi sasaran yang menguntungkan untuk kumpulan yang bermotivasi kewangan. Kelompok lain, seperti UNC6040 dan UNC6240 (ShinyHunters), terkenal kerana mengeksploitasi persekitaran SaaS, dengan UNC6240 malah bekerjasama dengan Scattered Spider (UNC3944) untuk kempen akses awal.

Pada masa ini, tiada bukti yang mengaitkan UNC6395 kepada kumpulan ini, menjadikannya kumpulan ancaman baharu dan berbeza. Skala, fokus dan kecanggihan kempennya, walau bagaimanapun, meletakkannya dalam kumpulan musuh berisiko tinggi yang sama.

Mitigasi dan Langkah Seterusnya

Salesloft telah melibatkan vendor keselamatan pihak ketiga untuk menyokong penyiasatan dan usaha pemulihan. Syarikat itu menggesa pentadbir untuk mengesahkan semula sambungan Salesforce untuk memulihkan penyepaduan dan mengambil langkah berjaga-jaga keselamatan tambahan.

Cadangan utama termasuk:

  • Membatalkan dan memutar kunci API sedia ada
  • Menyambung semula penyepaduan Drift dengan kunci baharu
  • Menyemak log untuk pertanyaan yang mencurigakan dan potensi pendedahan data
  • Melakukan penyiasatan yang lebih mendalam untuk menentukan kesannya

Bagi organisasi yang menguruskan sambungan Drift melalui kunci API, putaran kunci proaktif amat dinasihatkan. Penyepaduan OAuth, walau bagaimanapun, sudah ditangani secara langsung oleh Salesloft.

Bawa Pulang Akhir

Kempen ini menyerlahkan peningkatan risiko penyepaduan pihak ketiga dalam ekosistem SaaS. Dengan menyalahgunakan token OAuth yang dicuri, UNC6395 menunjukkan keupayaan untuk menjalankan operasi yang disasarkan, tersembunyi dan berorientasikan rantaian bekalan. Acara itu berfungsi sebagai peringatan bahawa platform berasaskan awan, walaupun berkuasa, kekal sebagai sasaran utama bagi pelaku ancaman yang ingin mengeksploitasi hubungan kepercayaan merentas rantaian bekalan digital.

Trending

Paling banyak dilihat

Memuatkan...