Витік даних Salesloft
Масштабна кібератака скомпрометувала інтеграцію Salesloft з агентом чату Drift AI, що дозволило хакерам викрасти OAuth та токени оновлення. Зловмисник, якого відстежували як UNC6395, використав ці викрадені токени для порушення середовищ клієнтів Salesforce. Експерти з безпеки виявили понад 700 організацій як потенційно постраждалих.
Зміст
Хронологія порушення
Розслідування показують, що шкідлива активність тривала з 8 по 18 серпня 2025 року. Протягом цього періоду зловмисники використовували скомпрометовані токени OAuth, пов'язані з Drift, для проникнення в екземпляри Salesforce. Потрапивши всередину, вони експортували величезні обсяги корпоративних даних, прагнучи зібрати конфіденційні облікові дані, такі як:
- Ключі доступу до Amazon Web Services (AWS)
- Паролі
- Токени, пов'язані зі сніжинками
Методи атаки та ремесла
Винятковою для цієї кампанії є методична точність UNC6395. Вони не здійснили одноразового вторгнення, а натомість розпочали структуровані та повторювані атаки на сотні орендарів Salesforce. Ключові спостереження включають:
Дисципліноване виконання – запити систематично виконувалися для ідентифікації та вилучення облікових даних.
Оперативна обізнаність – зловмисники видаляли завдання запитів, щоб приховати сліди своєї діяльності.
Вибір цілі – Багато організацій, за якими було здійснено злам, були постачальниками технологій та безпеки, що свідчить про те, що це могла бути спроба проникнення в ланцюг поставок.
Компрометуючи постачальників послуг та постачальників послуг, група позиціонувала себе для розширення атак нижче за течією, в екосистеми клієнтів та партнерів.
Відповідь від Salesloft та Salesforce
20 серпня 2025 року компанія Salesloft опублікувала попередження, в якому визнала порушення та підтвердила скасування всіх з’єднань Drift–Salesforce. Salesforce також опублікувала власну заяву, зазначивши, що безпосередньо постраждала лише «невелика кількість клієнтів». Обидві компанії вжили негайних заходів після інциденту:
- Недійсні активні токени доступу та оновлення
- Видалено Drift з AppExchange
- Співпрацювали над стримуванням атаки та оцінкою її наслідків
У Saleloft наголосили, що інцидент не впливає на організації без інтеграції Salesforce.
Ширший ландшафт загроз
Середовища Salesforce дедалі частіше стають прибутковими цілями для фінансово мотивованих груп. Інші кластери, такі як UNC6040 та UNC6240 (ShinyHunters), відомі використанням середовищ SaaS, причому UNC6240 навіть співпрацює зі Scattered Spider (UNC3944) для початкових кампаній доступу.
Наразі немає жодних доказів, що пов'язують UNC6395 з цими групами, що робить його новим та окремим кластером загроз. Однак масштаб, спрямованість та витонченість його кампанії ставить його в один ряд із супротивниками високого ризику.
Пом'якшення наслідків та наступні кроки
Salesloft залучила сторонніх постачальників засобів безпеки для підтримки розслідувань та усунення недоліків. Компанія закликає адміністраторів повторно автентифікувати з’єднання Salesforce для відновлення інтеграції та вжити додаткових заходів безпеки.
Ключові рекомендації включають:
- Скасування та ротація існуючих ключів API
- Повторне підключення інтеграцій Drift за допомогою нових ключів
- Перегляд журналів на наявність підозрілих запитів та потенційного витоку даних
- Проведення глибших досліджень для визначення впливу
Організаціям, які керують Drift-з’єднаннями через ключі API, наполегливо рекомендується проактивна ротація ключів. Однак інтеграції OAuth вже безпосередньо розглядаються Salesloft.
Остаточний висновок
Ця кампанія підкреслює зростаючі ризики інтеграції третіх сторін в екосистеми SaaS. Зловживаючи викраденими токенами OAuth, UNC6395 продемонструвала здатність проводити цілеспрямовані, приховані та орієнтовані на ланцюг поставок операції. Цей захід слугує нагадуванням про те, що хмарні платформи, хоча й потужні, залишаються головними цілями для зловмисників, які прагнуть використовувати довірчі відносини в усьому цифровому ланцюжку поставок.
