Утечка данных Salesloft
Масштабная кибератака нарушила интеграцию Salesloft с чат-агентом Drift AI, что позволило хакерам украсть OAuth и токены обновления. Злоумышленник, известный как UNC6395, использовал украденные токены для взлома клиентских сред Salesforce. Эксперты по безопасности выявили более 700 организаций, потенциально пострадавших от атаки.
Оглавление
Хронология нарушения
Расследование показало, что вредоносная активность осуществлялась с 8 по 18 августа 2025 года. В этот период злоумышленники использовали скомпрометированные токены OAuth, привязанные к Drift, для проникновения в системы Salesforce. Проникнув в систему, они экспортировали огромные объёмы корпоративных данных, стремясь собрать конфиденциальные учётные данные, такие как:
- Ключи доступа к Amazon Web Services (AWS)
- Пароли
- Токены, связанные со снежинками
Методы атаки и мастерство
Эта кампания выделяется методичной точностью UNC6395. Они не проводили одноразовое вторжение, а вместо этого запустили структурированные и повторяющиеся атаки на сотни клиентов Salesforce. Ключевые наблюдения включают:
Дисциплинированное исполнение – систематически выполнялись запросы для идентификации и извлечения учетных данных.
Оперативная осведомленность . Злоумышленники удалили задания по запросам, чтобы скрыть следы своей деятельности.
Выбор цели . Многие из взломанных организаций были поставщиками технологий и систем безопасности, что позволяет предположить, что это могла быть попытка проникновения в цепочку поставок.
Компрометируя поставщиков услуг и поставщиков, группировка подготовила почву для расширения атак на экосистемы клиентов и партнеров.
Ответ от Salesloft и Salesforce
20 августа 2025 года Salesloft опубликовала уведомление, в котором признала факт нарушения и подтвердила, что все соединения Drift и Salesforce были аннулированы. Salesforce также опубликовала собственное заявление, отметив, что напрямую пострадало лишь «небольшое количество клиентов». Обе компании немедленно предприняли меры после инцидента:
- Недействительные активные токены доступа и обновления
- Удален Drift из AppExchange
- Совместно работали над сдерживанием атаки и оценкой ее последствий.
В Salesloft подчеркнули, что инцидент не затронул организации, не имеющие интеграции с Salesforce.
Более широкий ландшафт угроз
Среды Salesforce становятся всё более привлекательными для финансово мотивированных групп. Другие кластеры, такие как UNC6040 и UNC6240 (ShinyHunters), известны использованием SaaS-сред, а UNC6240 даже сотрудничал со Scattered Spider (UNC3944) для проведения кампаний по первоначальному доступу.
В настоящее время нет никаких доказательств связи UNC6395 с этими группами, что делает его новым и самостоятельным кластером угроз. Однако масштаб, целенаправленность и сложность его кампании относят его к той же категории высокорискованных противников.
Смягчение последствий и дальнейшие шаги
Salesloft привлекла сторонних поставщиков решений безопасности для проведения расследований и устранения проблем. Компания настоятельно рекомендует администраторам повторно аутентифицировать подключения Salesforce для восстановления интеграции и принять дополнительные меры безопасности.
Основные рекомендации включают в себя:
- Отзыв и ротация существующих ключей API
- Повторное подключение интеграций Drift с новыми ключами
- Проверка журналов на предмет подозрительных запросов и потенциальной утечки данных
- Проведение более глубоких исследований для определения воздействия
Организациям, управляющим подключениями Drift через ключи API, настоятельно рекомендуется проводить проактивную ротацию ключей. Однако интеграция OAuth уже реализуется Salesloft напрямую.
Финальный вывод
Эта кампания подчеркивает растущие риски интеграции сторонних решений в экосистемы SaaS. Используя украденные токены OAuth, UNC6395 продемонстрировал способность проводить целенаправленные, скрытые операции, ориентированные на цепочки поставок. Это событие служит напоминанием о том, что облачные платформы, несмотря на свою мощь, остаются излюбленными целями для злоумышленников, стремящихся эксплуатировать доверительные отношения в цифровой цепочке поставок.
