O Grupo de Inteligência de Ameaças do Google (GTIG) tem publicado Um aviso sobre uma ampla operação de roubo de dados direcionando instâncias corporativas do Salesforce através da integração de deriva.
A partir de 8 de agosto de 2025, a UNC6395 alavancou os tokens de acesso e atualização válidos associados ao aplicativo Salesloft Drift para se conectar como um usuário de aplicativo conectado autenticado, executando consultas de SOQL em larga escala para exportar registros de principais objetos Salesforce, incluindo contas, oportunidades, usuários e casos.
Após a exfiltração, o ator de ameaças realizou pesquisas no local de material sensível-como as chaves de acesso da AWS (AKIA), senhas e tokens de floco de neve-dentro dos dados roubados.
Embora a UNC6395 tenha excluído seus trabalhos de consulta para impedir a detecção, os registros de eventos do Salesforce permaneceram intactos, permitindo que as organizações rastreem a atividade.
Salesloft esclarecido Que apenas os clientes integrando com o Salesforce via drift foram impactados e os clientes do Google Cloud sem essa integração não enfrentam exposição conhecida.
No entanto, qualquer organização que usa Drift deve verificar seus objetos Salesforce para as chaves da conta de serviço do Google Cloud Platform e outros segredos que poderiam ter sido capturados.
Táticas e consultas de atores de ameaças
A UNC6395 demonstrou conscientização sobre segurança operacional limpando as trilhas de auditoria de consulta, mantendo furtividade. O GTIG observou o ator rotineiramente executando consultas de contagem de SOQL, como ilustrado abaixo, antes de perfurar exportações detalhadas:
| SOQL Consulta | Propósito |
| Selecione count () da conta; | Medindo registros totais de conta |
| Selecione count () da oportunidade; | Bedage Total Opportunity Records |
| Selecione count () do usuário; | Bedage total de usuários ativos |
| Selecione count () no caso; | Bedage total de registros de casos |
| Exportação detalhada do usuário com 20 registros | Colheita de metadados do usuário |
| Exportação de casos limitada a 10.000 registros | Colheita de registros de casos para análise |
Ao enumerar os tamanhos de objetos, o ator identificaram alvos de alto valor e, em seguida, executaram consultas direcionadas, como recuperar os usuários mais recentemente ativos e os campos de casos detalhados, para maximizar a recuperação secreta.
Etapas de coordenação e remediação
Em 20 de agosto de 2025, a Salesloft e o Salesforce revogaram todos os tokens de deriva ativos e removeram o aplicativo da investigação AppExchange pendente. Esse incidente não resultou de uma falha na plataforma principal do Salesforce.
GTIG, Salesloft e Salesforce notificaram organizações impactadas. Os clientes afetados devem tratar seus dados do Salesforce como comprometidos e imediatamente:
- Girar e revogar credenciais
Revogar as teclas de API expostas, girar todas as credenciais da AWS e do Snowflake e redefinir as senhas de usuário. - Investigue e digitalize segredos
- Revise os logs de monitoramento de eventos para obter atividades incomuns de aplicativos conectados à deriva.
- Pesquise os IOCs, incluindo IPs de saída TOR e seqüências de strings de agente de usuário personalizadas.
- Digitalize objetos do Salesforce para palavras -chave como “Akia”, “Snowflakecomputing.com”, “senha” e use ferramentas como o Trufflehog para detectar segredos codificados.
- Harden conectado controles de aplicativos
- Aplique escopos de menor privilégio no aplicativo conectado à deriva.
- Aplicar restrições de IP e definir intervalos de login IP.
- Limite as durações da sessão por meio de configurações de tempo limite da sessão.
- Remova as permissões “ativadas pela API” de perfis amplos e atribua a conjuntos de permissão apenas a usuários autorizados.
Orientações e atualizações adicionais estão disponíveis nas páginas de consultoria do SalesLoft Trust e do Salesforce. O monitoramento contínuo e a rotação rápida de credenciais permanecem críticos para mitigar o risco contínuo representado pela UNC6395.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!