UPDATE: Kisah diperbarui dengan informasi lebih lanjut.
Peretas melanggar platform otomatisasi penjualan Salesloft untuk mencuri oauth dan menyegarkan token dari integrasi agen obrolan drift dengan Salesforce ke pivot ke lingkungan pelanggan dan mengekspiltrate data.
Salesloft’s SalesDrift adalah platform pihak ketiga yang menghubungkan agen obrolan AI Drift dengan instance Salesforce, yang memungkinkan organisasi untuk menyinkronkan percakapan, prospek, dan mendukung kasus ke dalam CRM mereka.
Menurut Salesloft, aktor ancaman memperoleh drift oauth dan token penyegaran yang digunakan untuk integrasi Salesforce -nya, dan menggunakannya untuk melakukan kampanye pencurian data Salesforce antara 8 Agustus dan 18 Agustus 2025.
“Temuan awal telah menunjukkan bahwa tujuan utama aktor adalah untuk mencuri kredensial, secara khusus berfokus pada informasi sensitif seperti kunci akses AWS, kata sandi, dan token akses terkait kepingan salju,” bunyi a Penasihat Salesloft.
“Kami telah menentukan bahwa insiden ini tidak berdampak pada pelanggan yang tidak menggunakan integrasi drift-salesforce kami. Berdasarkan penyelidikan kami yang sedang berlangsung, kami tidak melihat bukti aktivitas berbahaya yang berkelanjutan terkait dengan insiden ini.”
Dalam koordinasi dengan Salesforce, Salesloft mencabut semua token akses aktif dan menyegarkan untuk aplikasi drift, mengharuskan pelanggan untuk mengautentikasi kembali dengan instance Salesforce mereka.
Untuk reutentikasi, admin harus pergi ke Pengaturan > Integrasi > Salesforcelepaskan integrasi, dan kemudian terhubung kembali dengan kredensial Salesforce yang valid.
Tim Ancaman Intelijen Google (Mandiant) melacak aktor ancaman sebagai UNC6395 dan menyatakan bahwa begitu mereka mendapatkan akses ke instance Salesforce, mereka mengeluarkan kueri SOQL untuk mengekstrak token otentikasi kasus, kata sandi, dan rahasia dari kasus dukungan, yang memungkinkan mereka untuk melanggar platform lebih lanjut.
“GTIG mengamati UNC6395 yang menargetkan kredensial sensitif seperti Amazon Web Services (AWS) Access Keys (AKIA), kata sandi, dan token akses terkait kepingan salju,” melaporkan google.
“UNC6395 menunjukkan kesadaran keamanan operasional dengan menghapus pekerjaan kueri, namun log tidak terpengaruh dan organisasi masih harus meninjau log yang relevan untuk bukti paparan data.”
Untuk menyembunyikan infrastruktur mereka, para penyerang menggunakan Tor, serta penyedia hosting seperti AWS dan Digitalocean. String agen pengguna yang terkait dengan serangan pencurian data termasuk ‘Python-Requests/2.32.4’, ‘Python/3.11 Aiohttp/3.12.15’, dan untuk alat khusus menggunakan ‘Salesforce-Multi-org-Fetcher/1.0’ dan ‘Salesforce-CLI/1.0’
Google telah memberikan daftar alamat IP dan agen pengguna dalam laporannya untuk membantu administrator mencari log Salesforce dan menentukan apakah mereka dipengaruhi oleh serangan tersebut.
Admin lingkungan yang terpengaruh disarankan untuk memutar kredensial dan kemudian mencari objek Salesforce untuk rahasia tambahan yang mungkin telah dicuri. Ini termasuk:
- AKIA untuk pengidentifikasi kunci AWS Access jangka panjang
- Snowflake atau SnowflakeComputing.com untuk kredensial kepingan salju
- kata sandi, rahasia, kunci untuk menemukan referensi potensial ke materi kredensial
- String yang terkait dengan URL login khusus organisasi, seperti halaman login VPN atau SSO
Sementara Google melacak aktivitas ini di bawah classifier baru, UNC6395, kelompok pemerasan Shinyhunters pada awalnya mengatakan kepada BleepingComputer bahwa mereka berada di balik kegiatan ini.
Ketika dihubungi, seorang perwakilan untuk kelompok itu mengatakan kepada BleepingComputer, “Tidak heran ada hal -hal yang tiba -tiba berhenti bekerja kemarin.”
Namun, tim Ancaman Intelijen Google belum dapat menautkan kelompok pemerasan dengan serangan ini.
“Kami belum melihat bukti kuat yang menghubungkan mereka saat ini,” Austin Larsen, analis ancaman utama, Google Ancaman Intelijen, kepada BleepingComputer.
Setelah penerbitan cerita ini, para aktor ancaman mengatakan kepada BleepingComputer bahwa insiden yang dijelaskan oleh Google tidak terkait dengan mereka karena mereka tidak menargetkan kasus dukungan.
Serangan Salesforce yang sedang berlangsung
Pencurian token salesloft adalah tambahan dari gelombang pelanggaran data Salesforce yang terkait dengan grup Shinyhunters, yang juga mengklaim tumpang tindih dengan aktor ancaman yang diklasifikasikan sebagai laba -laba yang tersebar.
“Seperti yang telah kita katakan berulang kali, shinyhunters dan Spider yang tersebar adalah satu dan sama,” kata Shinyhunters kepada BleepingComputer.
“Mereka memberi kami akses awal dan kami melakukan pembuangan dan eksfiltrasi dari instance Salesforce CRM. Sama seperti yang kami lakukan dengan Snowflake.”
Sejak awal tahun, para aktor ancaman telah melakukan serangan rekayasa sosial untuk melanggar instance Salesforce dan mengunduh data.
Selama serangan ini, aktor ancaman melakukan phishing suara (Vishing) untuk menipu karyawan agar menghubungkan aplikasi OAuth berbahaya dengan instance Salesforce perusahaan mereka.
Setelah ditautkan, para aktor ancaman menggunakan koneksi untuk mengunduh dan mencuri basis data, yang kemudian digunakan untuk memeras perusahaan melalui email.
Sejak Google pertama kali melaporkan serangan itu Pada bulan Juni, banyak pelanggaran data telah terkait dengan serangan rekayasa sosial, termasuk Google itu sendiri, Cisco, Asuransi petani, Hari kerja, Adidas, Qantas, Kehidupan Allianzdan anak perusahaan LVMH Louis Vuitton, DiorDan Tiffany & Co.
Dengan serangan tambahan ini, aktor ancaman telah memperluas taktik mereka untuk tidak hanya memeras perusahaan tetapi juga menggunakan data curian untuk juga melanggar layanan cloud dan infrastruktur pelanggan hilir.
Perbarui 8/26/25: Pernyataan tambahan dari Google.
UPDATE 8/26/25: Menambahkan klarifikasi lebih lanjut tentang keterlibatan Shinyhunters dalam serangan ini.
