Büyük siber güvenlik firmaları da dahil olmak üzere 700’den fazla organizasyonu etkileyen sofistike bir tedarik zinciri saldırısı, Salesloft’un GitHub hesabından 2025 yılının başlarında başlayan bir uzlaşmaya kadar izlendi.
6 Eylül 2025’teki bir güncellemede Salesloft, siber güvenlik firması Mantiant tarafından yapılan bir soruşturmanın, tehdit aktörlerinin oauth kimlik doğrulama belirteçlerini sürüklenme sohbet platformundan çalmak için bu ilk erişimi kullandığını ve müşteri sistemlerinden yaygın veri hırsızlığına yol açtığını söyledi.
28 Ağustos’ta başlayan soruşturma, tehdit aktörlerinin Mart – Haziran 2025’e kadar Salesloft’un GitHub hesabına erişimi olduğunu ortaya koydu.
Bu dönemde, saldırganlar özel depolardan içerik indirdi, bir konuk kullanıcı ekledi ve hem Salesloft hem de Drift uygulama ortamlarında keşif yaparken iş akışları kurdu.
Salesloft platformunun kendisi ihlal edilmese de, saldırganlar Drift’in AWS ortamına döndüler ve burada müşteri teknolojisi entegrasyonları için OAuth jetonlarını başarıyla elde ettiler.
Salesloft Drift Cybertack
Google’ın Tehdit İstihbarat Grubu tarafından UNC6395 olarak tanımlanan tehdit oyuncusu, müşterilerin entegre uygulamalarından, özellikle Salesforce örneklerinden verilere erişmek ve sunmak için bu çalıntı jetonları kullandı.
Çalınan veriler öncelikle isimler, e -posta adresleri ve iş başlıkları gibi iş iletişim bilgilerini ve destek durumlarından içerik içeriyordu.
İhlal, Cloudflare, Zscaler, Palo Alto Networks, Pagerduty ve Spycloud dahil olmak üzere çok çeşitli yüksek profilli şirketleri etkiledi.
Olay, üçüncü taraf uygulama entegrasyonlarıyla ilişkili riskleri vurgulayan en büyük SaaS tedarik zinciri saldırılarından biri olarak kabul edilmektedir.
Saldırıya yanıt olarak, Salesloft Mantion ile uğraştı ve tehdidi içermek için kararlı bir eylemde bulundu. Şirket, sürüklenme platformunu tamamen çevrimdışı aldı, altyapısını izole etti ve etkilenen tüm kimlik bilgilerini döndürdü.
Mantiant o zamandan beri olayın içerdiğini ve Salesloft ve Drift ortamları arasındaki teknik segmentasyonun saldırganların yanal olarak hareket etmesini engellediğini doğruladı.
Soruşturmanın odağı artık adli kalite güvence incelemesine geçti. Salesloft, API Key aracılığıyla DRIFT ile entegre edilmiş tüm üçüncü taraf uygulamalarının mevcut anahtarı proaktif olarak iptal etmesini önererek ortaklarına rehberlik etti.
Şirket ayrıca, müşterilerin şüpheli etkinlikler için kendi günlüklerini aramalarına yardımcı olmak için kötü niyetli IP adresleri ve kullanıcı ajanı dizeleri de dahil olmak üzere uzlaşma göstergelerinin (IOCS) bir listesi yayınladı.
| Gösterge Türü | Değer/Açıklama |
|---|---|
| Kötü niyetli IP adresleri | IPS’den başarıyla doğrulanmış herhangi bir sürüklenme bağlantısı Olumsuz Drift’in resmi beyaz listesinde şüpheli sayılmalıdır. Aşağıdaki IP’ler kötü niyetli olarak doğrulanmıştır [user-provided text]: – 154.41.95.2 – 176.65.149.100 – 179.43.159.198 – 185.130.47.58 – 185.207.107.130 – 185.220.101.133 – 185.220.101.143 – 185.220.101.164 – 185.220.101.167 – 185.220.101.169 – 185.220.101.180 – 185.220.101.185 – 185.220.101.33 – 192.42.116.179 – 192.42.116.20 – 194.15.36.117 – 195.47.238.178 – 195.47.238.83 – 208.68.36.90 – 44.215.108.109 |
| Kötü amaçlı kullanıcı ajanı dizeleri | Aşağıdaki kullanıcı ajanı dizeleri, tehdit oyuncunun etkinliği ile ilişkilendirilmiştir [user-provided text]: – python-requests/2.32.4– Salesforce-Multi-Org-Fetcher/1.0– Python/3.11 aiohttp/3.12.15 |
“Dağınık Lapsus $ Hunters 4.0” adlı bir grup sorumluluk iddia ederken, araştırmacılar bu iddiayı destekleyecek güvenilir kanıt bulamadılar.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.