Salesloft-dataintrång
En storskalig cyberattack har äventyrat Saleslofts integration med Drift AI-chattagenten, vilket gör det möjligt för hackare att stjäla OAuth och uppdatera tokens. Hotaktören, spårad som UNC6395, utnyttjade dessa stulna tokens för att bryta sig in i Salesforces kundmiljöer. Säkerhetsexperter har identifierat över 700 organisationer som potentiellt drabbade.
Innehållsförteckning
Tidslinje för intrånget
Undersökningar visar att den skadliga aktiviteten pågick från 8 augusti till 18 augusti 2025. Under denna period utnyttjade angriparna komprometterade OAuth-tokens kopplade till Drift för att infiltrera Salesforce-instanser. Väl inne exporterade de massiva mängder företagsdata i syfte att samla in känsliga inloggningsuppgifter såsom:
- Amazon Web Services (AWS) åtkomstnycklar
- Lösenord
- Snöflingerelaterade tokens
Attackmetoder och hantverk
Det som gör att den här kampanjen sticker ut är den metodiska precisionen hos UNC6395. De genomförde inte ett engångsintrång utan lanserade istället strukturerade och upprepade attacker mot hundratals Salesforce-klienter. Viktiga observationer inkluderar:
Disciplinerat utförande – Frågor kördes systematiskt för att identifiera och extrahera autentiseringsuppgifter.
Operativ medvetenhet – Angriparna raderade frågejobb för att dölja spår av sina aktiviteter.
Val av mål – Många av de organisationer som utsattes för intrång var teknik- och säkerhetsleverantörer, vilket tyder på att detta kan vara ett försök till infiltration i leveranskedjan.
Genom att kompromettera leverantörer och tjänsteleverantörer positionerade sig gruppen för att expandera attacker nedströms till kunders och partners ekosystem.
Svar från Salesloft och Salesforce
Salesloft utfärdade en rekommendation den 20 augusti 2025, där de bekräftade intrånget och att de hade återkallat alla Drift-Salesforce-kopplingar. Salesforce följde upp med ett eget uttalande och noterade att endast ett "litet antal kunder" var direkt drabbade. Båda företagen har vidtagit omedelbara åtgärder efter händelsen:
- Ogiltigförklarade aktiva åtkomst- och uppdateringstokens
- Tog bort Drift från AppExchange
- Samarbetade för att begränsa attacken och bedöma dess effekter
Salesloft betonade att händelsen inte påverkar organisationer utan Salesforce-integrationer.
Bredare hotbild
Salesforce-miljöer har i allt högre grad blivit lukrativa mål för ekonomiskt motiverade grupper. Andra kluster, som UNC6040 och UNC6240 (ShinyHunters), är kända för att utnyttja SaaS-miljöer, och UNC6240 samarbetar till och med med Scattered Spider (UNC3944) för initiala åtkomstkampanjer.
För närvarande finns det inga bevis som kopplar UNC6395 till dessa grupper, vilket gör det till ett nytt och distinkt hotkluster. Omfattningen, fokuset och sofistikeringen av dess kampanj placerar den dock i samma liga som högriskmotståndare.
Åtgärder och nästa steg
Salesloft har anlitat tredjepartsleverantörer av säkerhetstjänster för att stödja utredningar och åtgärdsinsatser. Företaget uppmanar administratörer att autentisera Salesforce-anslutningar på nytt för att återställa integrationer och vidta ytterligare säkerhetsåtgärder.
Viktiga rekommendationer inkluderar:
- Återkalla och rotera befintliga API-nycklar
- Återansluta Drift-integrationer med nya nycklar
- Granska loggar för misstänkta frågor och potentiell dataexponering
- Genomföra djupare undersökningar för att fastställa effekterna
För organisationer som hanterar Drift-anslutningar via API-nycklar rekommenderas proaktiv nyckelrotation starkt. OAuth-integrationer hanteras dock redan direkt av Salesloft.
Slutgiltigt sammanfattning
Denna kampanj belyser de växande riskerna med tredjepartsintegrationer inom SaaS-ekosystem. Genom att missbruka stulna OAuth-tokens visade UNC6395 förmågan att utföra riktade, hemliga och leveranskedjeorienterade operationer. Evenemanget fungerar som en påminnelse om att molnbaserade plattformar, även om de är kraftfulla, fortfarande är främsta måltavlor för hotaktörer som försöker utnyttja förtroendeförhållanden över den digitala leveranskedjan.
