Yaygın bir veri hırsızlığı kampanyası, bilgisayar korsanlarının satış otomasyon platformunu ihlal etmesine izin verdi Saleslof Drift Yapay Zeka (AI) sohbet ajanı ile ilişkili oauth ve yenilemek.
Doğada fırsatçı olduğu değerlendirilen faaliyet, Google Tehdit İstihbarat Grubu ve Mantiant tarafından izlenen bir tehdit oyuncusu ile ilişkilendirildi, UNC6395.
Araştırmacılar Austin Larsen, Matt Lin, Tyler McLellan ve Ömer Elahdan, “8 Ağustos 2025 gibi başlayarak, en az 18 Ağustos 2025’e kadar aktör Salesforce müşteri örneklerini Salesforce Müşteri Örneklerini, Salesloft Drift üçüncü taraf uygulamasıyla ilişkili tehlikeye atılmış OAuth jetonları aracılığıyla hedefledi.” Dedi.
Bu saldırılarda, tehdit aktörlerinin, daha sonra kurban ortamlarından ödün vermek için kullanılabilecek kimlik bilgilerini hasat etmek amacıyla çok sayıda kurumsal Salesforce örnekinden büyük miktarlarda veri ihraç ettiği gözlemlenmiştir. Bunlar arasında Amazon Web Hizmetleri (AWS) Erişim Anahtarları (AKIA), şifreler ve kar tanesi ile ilgili erişim belirteçleri bulunur.
UNC6395, sorgu işlerini silerek operasyonel güvenlik bilincini de göstermiştir, ancak Google, kuruluşları API anahtarlarının iptal edilmesinin, geri dönen kimlik bilgilerini döndürmenin ve uzlaşmanın kapsamını belirlemek için daha fazla araştırma yapmanın yanı sıra veri maruziyeti kanıtı için ilgili günlükleri gözden geçirmeye çağırıyor.
Salesloft, 20 Ağustos 2025’te yayınlanan bir danışmada, Drift uygulamasında bir güvenlik sorunu belirlediğini ve Drift ve Salesforce arasındaki bağlantıları proaktif olarak iptal ettiğini söyledi. Olay, Salesforce ile entegre olmayan müşterileri etkilemez.
Salesloft, “Bir tehdit oyuncusu, müşterilerimizin Salesforce örneklerinden verileri sunmak için OAuth kimlik bilgilerini kullandı.” Dedi. “Tehdit oyuncusu, vakalar, hesaplar, kullanıcılar ve fırsatlar da dahil olmak üzere çeşitli Salesforce nesneleriyle ilişkili bilgileri almak için sorgular yürüttü.”
Şirket ayrıca, yöneticilerin entegrasyonu yeniden etkinleştirmeleri için Salesforce bağlantılarını yeniden kimin yetersiz kılarını önermektedir. Etkinliğin kesin ölçeği bilinmemektedir. Ancak Salesloft, etkilenen tüm tarafları bilgilendirdiğini söyledi.
Salı günü yaptığı açıklamada Salesforce, sorunun “uygulamanın bağlantısının uzlaşmasından” kaynaklandığını belirterek “az sayıda müşteri” etkilendiğini söyledi.
Salesforce, “Etkinliği tespit ettikten sonra Salesloft, Salesforce ile işbirliği içinde, aktif erişim ve yenileme jetonlarını geçersiz kıldı ve Drift’i AppExchange’den kaldırdı. Daha sonra etkilenen müşterileri bilgilendirdik.”
Geliştirme, Salesforce örneklerinin, başlangıç erişimi sağlamak için dağınık örümcekle (aka UNC3944) el ele tutuştu.
Appomni STK Cory Michal, “UNC6395 saldırıları hakkında en dikkat çekici olan şey hem ölçek hem de disiplindir.” Dedi. Diyerek şöyle devam etti: “Bu bir kerelik bir uzlaşma değildi; belirli bir ilgi alanına sahip yüzlerce Salesforce kiracı, çalıntı OAuth jetonları kullanılarak hedeflendi ve saldırgan birçok ortamda metodik olarak sorgulandı ve verileri ihraç etti.”
Diyerek şöyle devam etti: “Yüksek düzeyde operasyonel disiplin gösterdiler, yapılandırılmış sorgular çalıştırdılar, özellikle kimlik bilgilerini araştırdılar ve hatta işleri silerek izlerini örtmeye çalıştılar. Ölçek, odak ve Tradecraft kombinasyonu bu kampanyayı öne çıkarıyor.”
Michal ayrıca, hedeflenen ve tehlikeye atılan kuruluşların çoğunun kendilerinin güvenlik ve teknoloji şirketleri olduğuna dikkat çekti, bu da kampanyanın daha geniş bir tedarik zinciri saldırısı stratejisinin bir parçası olarak “açılış hareketi” olabileceğini gösterdi.
Michal, “İlk olarak satıcılara ve servis sağlayıcılara sızarak, saldırganlar kendilerini aşağı akış müşterileri ve ortaklarına döndürmek için pozisyona getirdi.” Diyerek şöyle devam etti: “Bu sadece izole bir SaaS uzlaşması değil, potansiyel olarak teknoloji tedarik zincirinde var olan güven ilişkilerini kullanmayı amaçlayan çok daha büyük bir kampanyanın temelini oluşturuyor.”