Multi-License Discount Quote
Banta sa Database kahinaan Paglabag sa Data ng Salesloft

Paglabag sa Data ng Salesloft

Sa pamamagitan ng Mezo sa kahinaan, Advanced Persistent Threat (APT)
Isalin To:

Ang isang malakihang cyberattack ay nakompromiso ang pagsasama ng Salesloft sa Drift AI chat agent, na nagbibigay-daan sa mga hacker na nakawin ang OAuth at i-refresh ang mga token. Ang threat actor, na sinusubaybayan bilang UNC6395, ay pinagsamantalahan ang mga ninakaw na token na ito para labagin ang mga kapaligiran ng customer ng Salesforce. Natukoy ng mga eksperto sa seguridad ang mahigit 700 organisasyon bilang posibleng maapektuhan.

Timeline ng Paglabag

Ang mga pagsisiyasat ay nagpapakita na ang malisyosong aktibidad ay tumagal mula Agosto 8 hanggang Agosto 18, 2025. Sa panahong ito, ginamit ng mga umaatake ang mga nakompromisong OAuth token na nauugnay sa Drift para makalusot sa mga pagkakataon ng Salesforce. Pagdating sa loob, nag-export sila ng napakalaking halaga ng corporate data, na naglalayong mangolekta ng mga sensitibong kredensyal gaya ng:

  • Mga access key ng Amazon Web Services (AWS).
  • Mga password
  • Mga token na nauugnay sa snowflake

Mga Paraan ng Pag-atake at Tradecraft

Ang nagpapatingkad sa kampanyang ito ay ang katumpakan ng pamamaraan ng UNC6395. Hindi sila nagsagawa ng isang beses na panghihimasok ngunit sa halip ay naglunsad ng mga structured at paulit-ulit na pag-atake sa daan-daang mga nangungupahan sa Salesforce. Kabilang sa mga pangunahing obserbasyon ang:

Disiplinadong pagpapatupad – Ang mga query ay sistematikong pinatakbo para matukoy at kunin ang mga kredensyal.

Kamalayan sa pagpapatakbo – Tinanggal ng mga umaatake ang mga trabaho sa pagtatanong upang itago ang mga bakas ng kanilang mga aktibidad.

Pagpili ng target – Marami sa mga nilabag na organisasyon ay mga provider ng teknolohiya at seguridad, na nagmumungkahi na maaaring ito ay isang pagtatangka sa pagpasok ng supply chain.

Sa pamamagitan ng pagkompromiso sa mga vendor at service provider, ipiniposisyon ng grupo ang sarili upang palawakin ang mga pag-atake sa downstream sa mga customer at partner na ecosystem.

Tugon Mula sa Salesloft at Salesforce

Naglabas ang Salesloft ng advisory noong Agosto 20, 2025, na kinikilala ang paglabag at kinukumpirma na binawi nito ang lahat ng koneksyon sa Drift–Salesforce. Sinundan ng Salesforce ang sarili nitong pahayag, na binanggit na 'maliit na bilang ng mga customer' lamang ang direktang naapektuhan. Ang dalawang kumpanya ay gumawa ng agarang hakbang kasunod ng insidente:

  • Invalidated ang aktibong Access at Refresh Token
  • Inalis ang Drift mula sa AppExchange
  • Nakipagtulungan upang pigilan ang pag-atake at tasahin ang epekto

Binigyang-diin ng Salesloft na ang insidente ay hindi nakakaapekto sa mga organisasyong walang pagsasama ng Salesforce.

Mas Malawak na Landscape ng Banta

Ang mga kapaligiran ng Salesforce ay lalong naging kapaki-pakinabang na mga target para sa mga pangkat na may motibasyon sa pananalapi. Ang iba pang mga kumpol, tulad ng UNC6040 at UNC6240 (ShinyHunters), ay kilala sa pagsasamantala sa mga kapaligiran ng SaaS, na may UNC6240 kahit na nakikipagsosyo sa Scattered Spider (UNC3944) para sa mga kampanya sa paunang pag-access.

Sa kasalukuyan, walang ebidensya na nag-uugnay sa UNC6395 sa mga grupong ito, na ginagawa itong bago at natatanging cluster ng banta. Ang sukat, pokus, at pagiging sopistikado ng kampanya nito, gayunpaman, ay naglalagay nito sa parehong liga ng mga kalaban na may mataas na panganib.

Pagbabawas at Mga Susunod na Hakbang

Nakipag-ugnayan ang Salesloft sa mga third-party na security vendor para suportahan ang mga pagsisiyasat at pagsisikap sa remediation. Hinihimok ng kumpanya ang mga administrator na muling i-authenticate ang mga koneksyon sa Salesforce upang maibalik ang mga pagsasama at magsagawa ng mga karagdagang pag-iingat sa seguridad.

Kabilang sa mga pangunahing rekomendasyon ang:

  • Pagbawi at pag-rotate ng mga umiiral nang API key
  • Muling ikinonekta ang mga pagsasama ng Drift gamit ang mga bagong key
  • Pagsusuri ng mga log para sa mga kahina-hinalang query at potensyal na pagkakalantad ng data
  • Pagsasagawa ng mas malalim na pagsisiyasat upang matukoy ang epekto

Para sa mga organisasyong namamahala sa mga Drift na koneksyon sa pamamagitan ng mga API key, mahigpit na ipinapayo ang proactive key rotation. Ang mga pagsasama ng OAuth, gayunpaman, ay direktang tinutugunan ng Salesloft.

Pangwakas na Takeaway

Itinatampok ng campaign na ito ang lumalaking panganib ng mga pagsasama ng third-party sa loob ng SaaS ecosystem. Sa pamamagitan ng pag-abuso sa mga ninakaw na OAuth token, ipinakita ng UNC6395 ang kakayahang magsagawa ng mga naka-target, patago, at mga operasyong nakatuon sa supply chain. Ang kaganapan ay nagsisilbing isang paalala na ang mga cloud-based na platform, bagama't makapangyarihan, ay nananatiling pangunahing target para sa mga aktor ng pagbabanta na naglalayong pagsamantalahan ang mga relasyon sa pagtitiwala sa buong digital supply chain.

Trending

Pinaka Nanood

Naglo-load...