Группа Google Threat Intelligence Group (GTIG) опубликовала экстренное предупреждение для организаций по всему миру: с 8 по 18 августа 2025 года злоумышленники, отслеживаемые под идентификатором UNC6395, провели масштабную кампанию по краже данных, нацеленную на клиентские экземпляры Salesforce. Атака осуществлялась через скомпрометированные OAuth токены, связанные с приложением Salesloft Drift, доступным на платформе Salesforce AppExchange.
Описание
По данным GTIG, злоумышленники методично экспортировали огромные объемы корпоративных данных из множества экземпляров Salesforce. Основной целью атаки стал сбор учетных данных, включая ключи доступа Amazon Web Services (AKIA), пароли и токены доступа Snowflake. После извлечения данных UNC6395 тщательно анализировали их в поисках секретов, которые можно использовать для дальнейшего проникновения в инфраструктуру жертв.
Примечательно, что злоумышленники продемонстрировали высокую операционную безопасность, удаляя задания запросов после их выполнения. Однако логи запросов остались нетронутыми, что позволяет организациям провести детальный анализ и выявить следы несанкционированного доступа. Salesforce подтвердила, что проблема не связана с уязвимостью в основной платформе, а вызвана компрометацией токенов конкретного приложения.
20 августа 2025 года Salesloft в сотрудничестве с Salesforce отозвала все активные токены доступа и обновления, связанные с приложением Drift. Кроме того, приложение было временно удалено из Salesforce AppExchange до завершения расследования. Salesloft пояснила, что клиенты, не использующие интеграцию с Salesforce, не были затронуты этим инцидентом.
Хотя прямого воздействия на клиентов Google Cloud не выявлено, GTIG рекомендует всем пользователям Salesloft Drift проверить свои объекты Salesforce на наличие ключей учетных записей сервиса Google Cloud Platform. Эксперты также советуют рассматривать данные как скомпрометированные и немедленно принять меры для их защиты.
Среди ключевых шагов по устранению последствий инцидента - поиск чувствительной информации в объектах Salesforce, отзыв API ключей, ротация учетных данных и расследование возможного злоупотребления украденными секретами. GTIG, Salesforce и Salesloft уже уведомили пострадавшие организации, однако полный масштаб утечки пока остается неизвестным.
Рекомендуется обратить особое внимание на объекты Cases, Accounts, Users и Opportunities, которые активно запрашивались злоумышленниками. Типичные запросы включали получение количества записей в каждом объекте, а также извлечение детальной информации о пользователях и обращениях. Например, запрос к объекту User включал такие поля, как имя, электронная почта, номер телефона, дата последнего входа и статус активности.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | SELECT COUNT() FROM Account; SELECT COUNT() FROM Opportunity; SELECT COUNT() FROM User; SELECT COUNT() FROM Case; SELECT Id, Username, Email, FirstName, LastName, Name, Title, CompanyName, Department, Division, Phone, MobilePhone, IsActive, LastLoginDate, CreatedDate, LastModifiedDate, TimeZoneSidKey, LocaleSidKey, LanguageLocaleKey, EmailEncodingKey FROM User WHERE IsActive = true ORDER BY LastLoginDate DESC NULLS LAST LIMIT 20 SELECT Id, IsDeleted, MasterRecordId, CaseNumber <snip> FROM Case LIMIT 10000 |
Индикаторы компрометации
IPv4
- 208.68.36.90
- 44.215.108.109
IPv4 (Tor exit node)
- 154.41.95.2
- 176.65.149.100
- 179.43.159.198
- 185.130.47.58
- 185.207.107.130
- 185.220.101.133
- 185.220.101.143
- 185.220.101.164
- 185.220.101.167
- 185.220.101.169
- 185.220.101.180
- 185.220.101.185
- 185.220.101.33
- 192.42.116.179
- 192.42.116.20
- 194.15.36.117
- 195.47.238.178
- 195.47.238.83
User-Agent
- Python/3.11 aiohttp/3.12.15
- python-requests/2.32.4
- Salesforce-CLI/1.0
- Salesforce-Multi-Org-Fetcher/1.0
