Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Sự dễ bị tổn thương Vi phạm dữ liệu Salesloft

Vi phạm dữ liệu Salesloft

Đến năm Mezo năm Sự dễ bị tổn thương, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Một cuộc tấn công mạng quy mô lớn đã xâm phạm khả năng tích hợp của Salesloft với công cụ trò chuyện Drift AI, cho phép tin tặc đánh cắp mã thông báo OAuth và mã thông báo làm mới. Kẻ tấn công, được theo dõi là UNC6395, đã khai thác các mã thông báo bị đánh cắp này để xâm nhập vào môi trường khách hàng của Salesforce. Các chuyên gia bảo mật đã xác định hơn 700 tổ chức có khả năng bị ảnh hưởng.

Dòng thời gian của vi phạm

Các cuộc điều tra cho thấy hoạt động độc hại này kéo dài từ ngày 8 tháng 8 đến ngày 18 tháng 8 năm 2025. Trong thời gian này, những kẻ tấn công đã lợi dụng các mã thông báo OAuth bị xâm phạm được liên kết với Drift để xâm nhập vào các phiên bản Salesforce. Sau khi xâm nhập, chúng đã xuất một lượng lớn dữ liệu doanh nghiệp, nhằm mục đích thu thập thông tin đăng nhập nhạy cảm như:

  • Khóa truy cập Amazon Web Services (AWS)
  • Mật khẩu
  • Mã thông báo liên quan đến Snowflake

Phương pháp tấn công và kỹ năng

Điểm nổi bật của chiến dịch này chính là tính chính xác có phương pháp của UNC6395. Họ không thực hiện một cuộc xâm nhập đơn lẻ mà thay vào đó, họ đã phát động các cuộc tấn công có cấu trúc và lặp lại trên hàng trăm máy chủ Salesforce. Những quan sát chính bao gồm:

Thực hiện có kỷ luật – Các truy vấn được chạy một cách có hệ thống để xác định và trích xuất thông tin xác thực.

Nhận thức hoạt động – Kẻ tấn công đã xóa các công việc truy vấn để che giấu dấu vết hoạt động của chúng.

Lựa chọn mục tiêu – Nhiều tổ chức bị xâm phạm là các nhà cung cấp công nghệ và bảo mật, cho thấy đây có thể là nỗ lực xâm nhập vào chuỗi cung ứng.

Bằng cách xâm phạm các nhà cung cấp và nhà cung cấp dịch vụ, nhóm này đã tự định vị mình để mở rộng các cuộc tấn công vào hệ sinh thái của khách hàng và đối tác.

Phản hồi từ Salesloft và Salesforce

Salesloft đã ban hành một thông báo vào ngày 20 tháng 8 năm 2025, thừa nhận vi phạm và xác nhận đã hủy bỏ tất cả các kết nối Drift-Salesforce. Salesforce cũng đưa ra tuyên bố riêng, lưu ý rằng chỉ có "một số ít khách hàng" bị ảnh hưởng trực tiếp. Cả hai công ty đã thực hiện các biện pháp ngay lập tức sau sự cố:

  • Mã thông báo truy cập và làm mới đang hoạt động không hợp lệ
  • Đã xóa Drift khỏi AppExchange
  • Hợp tác để ngăn chặn cuộc tấn công và đánh giá tác động

Salesloft nhấn mạnh rằng sự cố này không ảnh hưởng đến các tổ chức không tích hợp Salesforce.

Cảnh quan đe dọa rộng hơn

Môi trường Salesforce ngày càng trở thành mục tiêu béo bở cho các nhóm lợi dụng tài chính. Các cụm khác, chẳng hạn như UNC6040 và UNC6240 (ShinyHunters), được biết đến với việc khai thác môi trường SaaS, trong đó UNC6240 thậm chí còn hợp tác với Scattered Spider (UNC3944) cho các chiến dịch truy cập ban đầu.

Hiện tại, không có bằng chứng nào cho thấy UNC6395 liên quan đến các nhóm này, khiến nó trở thành một nhóm đe dọa mới và riêng biệt. Tuy nhiên, quy mô, trọng tâm và mức độ tinh vi của chiến dịch này khiến nó được xếp vào cùng nhóm với các đối thủ có nguy cơ cao.

Giảm thiểu và các bước tiếp theo

Salesloft đã thuê các nhà cung cấp bảo mật bên thứ ba để hỗ trợ điều tra và khắc phục sự cố. Công ty đang kêu gọi quản trị viên xác thực lại kết nối Salesforce để khôi phục tích hợp và thực hiện các biện pháp phòng ngừa bảo mật bổ sung.

Các khuyến nghị chính bao gồm:

  • Thu hồi và thay đổi các khóa API hiện có
  • Kết nối lại tích hợp Drift với các khóa mới
  • Xem xét nhật ký để tìm các truy vấn đáng ngờ và nguy cơ lộ dữ liệu
  • Tiến hành điều tra sâu hơn để xác định tác động

Đối với các tổ chức quản lý kết nối Drift thông qua khóa API, việc chủ động xoay vòng khóa được khuyến khích mạnh mẽ. Tuy nhiên, Salesloft hiện đã xử lý trực tiếp việc tích hợp OAuth.

Bài học cuối cùng

Chiến dịch này nhấn mạnh những rủi ro ngày càng tăng của việc tích hợp bên thứ ba vào hệ sinh thái SaaS. Bằng cách lạm dụng mã thông báo OAuth bị đánh cắp, UNC6395 đã chứng minh khả năng thực hiện các hoạt động nhắm mục tiêu, bí mật và hướng đến chuỗi cung ứng. Sự kiện này như một lời nhắc nhở rằng các nền tảng đám mây, mặc dù mạnh mẽ, vẫn là mục tiêu hàng đầu cho các tác nhân đe dọa tìm cách khai thác mối quan hệ tin cậy trên toàn bộ chuỗi cung ứng kỹ thuật số.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,927
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...