Кршење података компаније Salesloft
Велики сајбер напад је угрозио интеграцију компаније Salesloft са Drift AI чет агентом, омогућавајући хакерима да украду OAuth и освеже токене. Претња, праћена као UNC6395, искористила је ове украдене токене да би пробила корисничка окружења Salesforce-а. Безбедносни стручњаци су идентификовали преко 700 организација као потенцијално погођене.
Преглед садржаја
Хронологија кршења
Истраге откривају да је злонамерна активност трајала од 8. до 18. августа 2025. Током овог периода, нападачи су користили компромитоване OAuth токене повезане са Drift-ом да би се инфилтрирали у Salesforce инстанце. Једном унутра, извезли су огромне количине корпоративних података, циљајући да прикупе осетљиве акредитиве као што су:
- Приступни кључеви за Amazon Web Services (AWS)
- Лозинке
- Токени повезани са пахуљицама
Методе напада и занатство
Оно што ову кампању издваја је методична прецизност UNC6395. Нису извршили једнократни упад, већ су уместо тога покренули структуриране и поновљене нападе на стотине закупаца Salesforce-а. Кључна запажања укључују:
Дисциплиновано извршење – Упити су систематски покретани ради идентификације и издвајања акредитива.
Оперативна свест – Нападачи су обрисали послове упита како би прикрили трагове својих активности.
Избор мете – Многе од пробијених организација биле су добављачи технологије и безбедности, што сугерише да би ово могао бити покушај инфилтрације у ланац снабдевања.
Компромитујући добављаче и пружаоце услуга, група се позиционирала да прошири нападе низводно на екосистеме купаца и партнера.
Одговор компанија Salesloft и Salesforce
Сејлслофт је 20. августа 2025. године издао упозорење, потврђујући да је дошло до кршења безбедности и да је опозвао све везе између Дрифта и Сејлсфорса. Сејлсфорс је потом дао сопствено саопштење, напомињући да је само „мали број купаца“ директно погођен. Обе компаније су предузеле хитне кораке након инцидента:
- Поништени активни токени за приступ и освежавање
- Уклоњен је Дрифт са AppExchange-а
- Сарађивали су на обуздавању напада и процени његовог утицаја
Сејлслофт је нагласио да инцидент не утиче на организације без Сејлфорс интеграција.
Шири пејзаж претњи
Salesforce окружења све више постају уносне мете за финансијски мотивисане групе. Други кластери, као што су UNC6040 и UNC6240 (ShinyHunters), познати су по искоришћавању SaaS окружења, а UNC6240 чак сарађује са Scattered Spider (UNC3944) за почетне кампање приступа.
Тренутно не постоје докази који повезују UNC6395 са овим групама, што га чини новим и посебним кластером претњи. Међутим, обим, фокус и софистицираност његове кампање сврставају га у исту лигу противника високог ризика.
Ублажавање и следећи кораци
Сејлслофт је ангажовао независне добављаче безбедносних услуга како би подржао истраге и напоре за отклањање недостатака. Компанија позива администраторе да поново аутентификују Сејлфорс везе како би обновили интеграције и предузели додатне безбедносне мере предострожности.
Кључне препоруке укључују:
- Поништавање и ротирање постојећих API кључева
- Поновно повезивање Drift интеграција са новим кључевима
- Преглед логова за сумњиве упите и потенцијално излагање подацима
- Спровођење дубљих истраживања како би се утврдио утицај
За организације које управљају Drift конекцијама путем API кључева, топло се препоручује проактивна ротација кључева. Међутим, Salesloft већ директно решава OAuth интеграције.
Завршни закључак
Ова кампања истиче растуће ризике интеграција трећих страна унутар SaaS екосистема. Злоупотребом украдених OAuth токена, UNC6395 је показао способност спровођења циљаних, прикривених и операција оријентисаних на ланац снабдевања. Догађај служи као подсетник да платформе засноване на облаку, иако моћне, остају главне мете за актере претњи који желе да искористе односе поверења у дигиталном ланцу снабдевања.
