В августе 2025 года произошла масштабная кампания по хищению данных, нацеленная на пользователей платформы автоматизации продаж Salesloft. Атака, получившая название по идентификатору исполнителя UNC6395, была детально проанализирована группой Google Threat Intelligence и компанией Mandiant. Злоумышленники использовали скомпрометированные OAuth-токены, связанные с интеграцией чат-агента Drift AI, чтобы получить несанкционированный доступ к данным в Salesforce.
Описание
Инцидент начался 8 августа и продолжался до середины месяца. Злоумышленники экспортировали значительные объемы информации из множества экземпляров Salesforce, после чего тщательно фильтровали эти данные в поисках учетных данных (credentials), токенов и паролей. По оценкам Google, количество пострадавших организаций превысило 700. Изначально предполагалось, что под удар попали только клиенты, использующие интеграцию с Salesforce, однако позже выяснилось, что угроза затронула и другие подключенные сервисы.
Атака наглядно демонстрирует растущую тенденцию эксплуатации доверенных интеграций программного обеспечения как услуги (SaaS) для проникновения в корпоративные среды. Используя легитимные учетные данные и API-трафик, злоумышленники смогли обойти традиционные средства защиты, такие как межсетевые экраны и системы обнаружения вторжений. Их действия маскировались под обычную активность Salesforce, что значительно осложнило обнаружение угрозы.
После получения доступа с помощью OAuth-токенов злоумышленники приступили к внутренней разведке, выполняя запросы к таким объектам, как Cases, Accounts, Users и Opportunities. Одновременно они искали конфиденциальную информацию, включая ключи AWS и учетные данные Snowflake, что указывает на их намерение использовать полученные данные для последующих атак. Для обеспечения долговременного присутствия в системе злоумышленники создали по крайней мере одну новую учетную запись пользователя в начале сентября.
Компания Darktrace, специализирующаяся на искусственном интеллекте для кибербезопасности, зафиксировала аномальную активность, связанную с этой кампанией, в нескольких развертываниях. В двух случаях у клиентов из США была обнаружена подозрительная активность: вход в систему с редкого IP-адреса 208.68.36[.]90 с использованием приложения Drift, за которым последовали многочисленные API-запросы к Salesforce. Darktrace применила свою технологию Autonomous Response для предложения блокировки пользователя, однако в данных случаях требовалось ручное подтверждение действия.
Этот инцидент подчеркивает необходимость постоянного мониторинга активности в SaaS-средах и строгого соблюдения принципа наименьших привилегий при настройке интеграций. Традиционные средства защиты оказываются неэффективными против атак, использующих легитимные учетные данные, что требует внедрения поведенческого анализа и проактивных мер безопасности.
Индикаторы компрометации
IPv4
- 208.68.36.90