การละเมิดข้อมูลของ Salesloft
การโจมตีทางไซเบอร์ครั้งใหญ่ได้ส่งผลกระทบต่อการผสานรวมระบบของ Salesloft กับตัวแทนแชท Drift AI ทำให้แฮกเกอร์สามารถขโมย OAuth และรีเฟรชโทเค็นได้ ผู้ก่อภัยคุกคามซึ่งติดตามตัวคือ UNC6395 ได้ใช้ประโยชน์จากโทเค็นที่ขโมยมาเพื่อเจาะระบบลูกค้าของ Salesforce ผู้เชี่ยวชาญด้านความปลอดภัยได้ระบุว่ามีองค์กรกว่า 700 แห่งที่อาจได้รับผลกระทบ
สารบัญ
ไทม์ไลน์ของการละเมิด
จากการสืบสวนพบว่ากิจกรรมที่เป็นอันตรายเกิดขึ้นระหว่างวันที่ 8 สิงหาคม ถึง 18 สิงหาคม 2568 ในช่วงเวลาดังกล่าว ผู้โจมตีได้ใช้โทเค็น OAuth ที่ถูกบุกรุกซึ่งเชื่อมโยงกับ Drift เพื่อแทรกซึมเข้าไปในอินสแตนซ์ของ Salesforce เมื่อเข้าไปแล้ว พวกเขาได้ส่งออกข้อมูลองค์กรจำนวนมหาศาล โดยมีเป้าหมายเพื่อรวบรวมข้อมูลประจำตัวที่ละเอียดอ่อน เช่น:
- คีย์การเข้าถึง Amazon Web Services (AWS)
- รหัสผ่าน
- โทเค็นที่เกี่ยวข้องกับเกล็ดหิมะ
วิธีการโจมตีและการค้าขาย
สิ่งที่ทำให้แคมเปญนี้โดดเด่นคือความแม่นยำอย่างเป็นระบบของ UNC6395 พวกเขาไม่ได้ทำการบุกรุกเพียงครั้งเดียว แต่กลับเปิดการโจมตีแบบมีโครงสร้างและซ้ำแล้วซ้ำเล่าในเครือข่ายผู้เช่า Salesforce หลายร้อยราย ข้อสังเกตสำคัญประกอบด้วย:
การดำเนินการอย่างมีวินัย – มีการรันแบบสอบถามอย่างเป็นระบบเพื่อระบุและดึงข้อมูลประจำตัว
การรับรู้การปฏิบัติงาน – ผู้โจมตีลบงานการค้นหาเพื่อปกปิดร่องรอยของกิจกรรมของพวกเขา
การเลือกเป้าหมาย – องค์กรที่ถูกละเมิดจำนวนมากเป็นผู้ให้บริการด้านเทคโนโลยีและความปลอดภัย ซึ่งชี้ให้เห็นว่านี่อาจเป็นความพยายามแทรกซึมในห่วงโซ่อุปทาน
โดยการประนีประนอมกับผู้ขายและผู้ให้บริการ กลุ่มดังกล่าวได้วางตำแหน่งตัวเองให้พร้อมเพื่อขยายการโจมตีไปยังระบบนิเวศของลูกค้าและพันธมิตร
การตอบสนองจาก Salesloft และ Salesforce
Salesloft ได้ออกประกาศเมื่อวันที่ 20 สิงหาคม 2568 โดยยอมรับถึงการละเมิดและยืนยันว่าได้ยกเลิกการเชื่อมต่อ Drift–Salesforce ทั้งหมดแล้ว Salesforce ได้ออกแถลงการณ์ของตนเองตามมา โดยระบุว่ามีเพียง “ลูกค้าจำนวนเล็กน้อย” เท่านั้นที่ได้รับผลกระทบโดยตรง ทั้งสองบริษัทได้ดำเนินการทันทีหลังจากเหตุการณ์ดังกล่าว:
- โทเค็นการเข้าถึงและรีเฟรชที่ใช้งานอยู่ไม่ถูกต้อง
- ลบ Drift ออกจาก AppExchange
- ร่วมมือกันควบคุมการโจมตีและประเมินผลกระทบ
Salesloft เน้นย้ำว่าเหตุการณ์นี้จะไม่ส่งผลต่อองค์กรที่ไม่ได้บูรณาการกับ Salesforce
ภูมิทัศน์ภัยคุกคามที่กว้างขึ้น
สภาพแวดล้อมของ Salesforce กลายเป็นเป้าหมายที่ทำกำไรให้กับกลุ่มที่มีแรงจูงใจทางการเงินเพิ่มมากขึ้น คลัสเตอร์อื่นๆ เช่น UNC6040 และ UNC6240 (ShinyHunters) ขึ้นชื่อเรื่องการใช้ประโยชน์จากสภาพแวดล้อม SaaS โดย UNC6240 ยังได้ร่วมมือกับ Scattered Spider (UNC3944) สำหรับแคมเปญการเข้าถึงเบื้องต้นอีกด้วย
ปัจจุบันยังไม่มีหลักฐานที่เชื่อมโยง UNC6395 กับกลุ่มเหล่านี้ ทำให้กลายเป็นคลัสเตอร์ภัยคุกคามใหม่ที่แตกต่างไปจากเดิม อย่างไรก็ตาม ด้วยขนาด ความเข้มข้น และความซับซ้อนของแคมเปญนี้ ทำให้ UNC6395 อยู่ในกลุ่มศัตรูที่มีความเสี่ยงสูงระดับเดียวกัน
การบรรเทาผลกระทบและขั้นตอนต่อไป
Salesloft ได้ว่าจ้างผู้ให้บริการระบบรักษาความปลอดภัยจากภายนอกเพื่อสนับสนุนการสืบสวนและการแก้ไขปัญหา บริษัทกำลังเร่งรัดให้ผู้ดูแลระบบตรวจสอบสิทธิ์การเชื่อมต่อ Salesforce อีกครั้งเพื่อกู้คืนการผสานรวมระบบและดำเนินมาตรการป้องกันความปลอดภัยเพิ่มเติม
คำแนะนำที่สำคัญ ได้แก่:
- การเพิกถอนและการหมุนเวียนคีย์ API ที่มีอยู่
- การเชื่อมต่อการรวม Drift เข้ากับคีย์ใหม่
- การตรวจสอบบันทึกสำหรับคำถามที่น่าสงสัยและการเปิดเผยข้อมูลที่อาจเกิดขึ้น
- การดำเนินการสืบสวนที่ลึกขึ้นเพื่อพิจารณาผลกระทบ
สำหรับองค์กรที่จัดการการเชื่อมต่อ Drift ผ่านคีย์ API ขอแนะนำให้หมุนเวียนคีย์เชิงรุกเป็นอย่างยิ่ง อย่างไรก็ตาม Salesloft กำลังดำเนินการเรื่องการผสานรวม OAuth โดยตรงอยู่แล้ว
Takeaway สุดท้าย
แคมเปญนี้เน้นย้ำถึงความเสี่ยงที่เพิ่มขึ้นจากการผสานรวมระบบกับบุคคลที่สามภายในระบบนิเวศ SaaS UNC6395 ได้แสดงให้เห็นถึงความสามารถในการดำเนินการแบบเจาะจงเป้าหมาย ลับๆ และมุ่งเน้นห่วงโซ่อุปทาน โดยการใช้โทเค็น OAuth ที่ถูกขโมยไป กิจกรรมนี้ช่วยย้ำเตือนว่าแม้แพลตฟอร์มบนคลาวด์จะทรงพลัง แต่ยังคงเป็นเป้าหมายหลักของผู้ก่อภัยคุกคามที่ต้องการใช้ประโยชน์จากความสัมพันธ์ที่เชื่อถือได้ทั่วทั้งห่วงโซ่อุปทานดิจิทัล
