Группировка, отслеживаемая как UNC6395, провела широкомасштабную кампанию по краже данных, эксплуатируя уязвимость в чат-агенте на базе искусственного интеллекта Drift. Злоумышленники похитили токены OAuth и токены обновления, что позволило им взломать платформу автоматизации продаж Salesloft и получить несанкционированный доступ к экземплярам Salesforce многочисленных корпоративных клиентов. Эта кампания считается значительной из-за своего масштаба, дисциплины и потенциала в качестве первого этапа более широкой атаки на цепочку поставок.
Атака происходила в период с 8 по 18 августа 2025 года. Вектором проникновения стала уязвимость, связанная с ИИ-агентом Drift — сторонним приложением, интегрированным с платформой Salesloft. Конечной целью злоумышленников был доступ к корпоративным данным клиентов в их экземплярах Salesforce для последующей эксфильтрации.
Ответственность за атаку возлагается на группировку UNC6395, согласно данным Google Threat Intelligence Group и Mandiant. Аналитики, включая Остина Ларсена, Мэтта Лина, Тайлера Маклеллана и Омара ЭльАхдана, оценивают кампанию как оппортунистическую. Хакеры продемонстрировали высокий уровень операционной дисциплины и осведомленности в области безопасности, в частности, пытаясь скрыть свои следы путем удаления заданий на выполнение запросов после выгрузки данных.
Основной целью злоумышленников была эксфильтрация больших объемов данных из различных объектов Salesforce, включая «Обращения» (Cases), «Контрагенты» (Accounts), «Пользователи» (Users) и «Возможности» (Opportunities). Кампания была направлена на сбор учетных данных, которые могли бы быть использованы для дальнейших компрометаций в инфраструктуре жертв.
В ходе атак UNC6395 целенаправленно искали и извлекали специфические учетные данные. Среди них были ключи доступа Amazon Web Services (AWS), идентифицируемые по префиксу «AKIA», пароли пользователей, а также токены доступа, связанные с платформой данных Snowflake.
Компания Salesloft выпустила уведомление 20 августа 2025 года, в котором подтвердила наличие проблемы безопасности в приложении Drift. В качестве немедленной меры реагирования компания превентивно отозвала все подключения между Drift и Salesforce и уведомила всех затронутых клиентов. Инцидент не коснулся тех, кто не интегрировал Salesloft с Salesforce. Администраторам было рекомендовано повторно аутентифицировать свое соединение с Salesforce для возобновления работы интеграции.
Salesforce опубликовала свое заявление во вторник, сообщив, что пострадало «небольшое число клиентов». Причиной был назван «компромисс соединения приложения». В сотрудничестве с Salesloft компания аннулировала активные токены доступа и обновления и удалила приложение Drift из своего магазина AppExchange. Все пострадавшие клиенты были уведомлены.
В ответ на инцидент Google настоятельно рекомендовал организациям провести проверку соответствующих журналов на предмет раскрытия данных, отозвать скомпрометированные ключи API и сменить учетные данные. Также было рекомендовано провести дальнейшее расследование для определения полного масштаба компрометации.
Кори Михал, директор по безопасности (CSO) компании AppOmni, отметил, что атака выделяется своим масштабом и дисциплиной. Злоумышленники нацелились на «сотни арендаторов Salesforce», используя методичные, структурированные запросы. По его словам, «сочетание масштаба, целенаправленного поиска учетных данных и тактики сокрытия следов делает эту кампанию выдающейся». Многие из скомпрометированных организаций сами являлись компаниями в сфере технологий и кибербезопасности.
Эксперты предполагают, что эта кампания может быть «первым ходом» в рамках более широкой стратегии атак на цепочку поставок. Проникая в системы поставщиков и сервис-провайдеров, злоумышленники могут использовать их для атак на их нижестоящих клиентов и партнеров, эксплуатируя доверительные отношения в технологической экосистеме.
В контексте угроз для Salesforce упоминаются и другие финансово мотивированные группы, такие как UNC6040 и UNC6240 (также известная как ShinyHunters). Группировка UNC6240 (ShinyHunters) ранее объединяла усилия с Scattered Spider (UNC3944) для получения первоначального доступа в рамках других кампаний.
Изображение носит иллюстративный характер
Атака происходила в период с 8 по 18 августа 2025 года. Вектором проникновения стала уязвимость, связанная с ИИ-агентом Drift — сторонним приложением, интегрированным с платформой Salesloft. Конечной целью злоумышленников был доступ к корпоративным данным клиентов в их экземплярах Salesforce для последующей эксфильтрации.
Ответственность за атаку возлагается на группировку UNC6395, согласно данным Google Threat Intelligence Group и Mandiant. Аналитики, включая Остина Ларсена, Мэтта Лина, Тайлера Маклеллана и Омара ЭльАхдана, оценивают кампанию как оппортунистическую. Хакеры продемонстрировали высокий уровень операционной дисциплины и осведомленности в области безопасности, в частности, пытаясь скрыть свои следы путем удаления заданий на выполнение запросов после выгрузки данных.
Основной целью злоумышленников была эксфильтрация больших объемов данных из различных объектов Salesforce, включая «Обращения» (Cases), «Контрагенты» (Accounts), «Пользователи» (Users) и «Возможности» (Opportunities). Кампания была направлена на сбор учетных данных, которые могли бы быть использованы для дальнейших компрометаций в инфраструктуре жертв.
В ходе атак UNC6395 целенаправленно искали и извлекали специфические учетные данные. Среди них были ключи доступа Amazon Web Services (AWS), идентифицируемые по префиксу «AKIA», пароли пользователей, а также токены доступа, связанные с платформой данных Snowflake.
Компания Salesloft выпустила уведомление 20 августа 2025 года, в котором подтвердила наличие проблемы безопасности в приложении Drift. В качестве немедленной меры реагирования компания превентивно отозвала все подключения между Drift и Salesforce и уведомила всех затронутых клиентов. Инцидент не коснулся тех, кто не интегрировал Salesloft с Salesforce. Администраторам было рекомендовано повторно аутентифицировать свое соединение с Salesforce для возобновления работы интеграции.
Salesforce опубликовала свое заявление во вторник, сообщив, что пострадало «небольшое число клиентов». Причиной был назван «компромисс соединения приложения». В сотрудничестве с Salesloft компания аннулировала активные токены доступа и обновления и удалила приложение Drift из своего магазина AppExchange. Все пострадавшие клиенты были уведомлены.
В ответ на инцидент Google настоятельно рекомендовал организациям провести проверку соответствующих журналов на предмет раскрытия данных, отозвать скомпрометированные ключи API и сменить учетные данные. Также было рекомендовано провести дальнейшее расследование для определения полного масштаба компрометации.
Кори Михал, директор по безопасности (CSO) компании AppOmni, отметил, что атака выделяется своим масштабом и дисциплиной. Злоумышленники нацелились на «сотни арендаторов Salesforce», используя методичные, структурированные запросы. По его словам, «сочетание масштаба, целенаправленного поиска учетных данных и тактики сокрытия следов делает эту кампанию выдающейся». Многие из скомпрометированных организаций сами являлись компаниями в сфере технологий и кибербезопасности.
Эксперты предполагают, что эта кампания может быть «первым ходом» в рамках более широкой стратегии атак на цепочку поставок. Проникая в системы поставщиков и сервис-провайдеров, злоумышленники могут использовать их для атак на их нижестоящих клиентов и партнеров, эксплуатируя доверительные отношения в технологической экосистеме.
В контексте угроз для Salesforce упоминаются и другие финансово мотивированные группы, такие как UNC6040 и UNC6240 (также известная как ShinyHunters). Группировка UNC6240 (ShinyHunters) ранее объединяла усилия с Scattered Spider (UNC3944) для получения первоначального доступа в рамках других кампаний.
