Una sofisticada campaña de exfiltración de datos dirigida a instancias de fuerza de ventas corporativas ha expuesto información confidencial de múltiples organizaciones a través de tokens OAuth comprometidos asociados con la aplicación de terceros de SalesLoft Drift.
El actor de amenaza, designado como UNC6395, cosechó sistemáticamente credenciales y datos confidenciales entre el 8 y el 18 de agosto de 2025, que demuestra la conciencia de seguridad operativa avanzada al ejecutar consultas de SOQL en numerosos objetos de Salesforce.
Control de llave
1. UNC6395 utilizado tokens de deriva de sales comprometidos para acceder a las instancias de Salesforce.
2. Cayos de AWS cosechados, tokens de copo de nieve y contraseñas de los datos de Salesforce.
3. Todos los tokens de deriva revocados; Las organizaciones deben rotar las credenciales.
La campaña representa un vector de ataque de cadena de suministro significativo, explotando la relación de confianza entre las instancias de Salesforce y las aplicaciones integradas de terceros.
UNC6395 Apalancó mecanismos legítimos de autenticación de OAuth para obtener acceso no autorizado, evitando los controles de seguridad tradicionales y haciendo que la detección sea particularmente desafiante para las organizaciones afectadas.
Explotación de token de oauth
Grupo de inteligencia de amenazas de Google reportado que el actor de amenaza utilizó tokens de acceso OAuth comprometidos y actualiza los tokens de la aplicación SalesLoft Drift para autenticarse contra las instancias de Salesforce de objetivos.
Este vector de ataque explotó el marco de autorización OAuth 2.0, que permite que las aplicaciones de terceros accedan a los datos de Salesforce sin exponer las credenciales de los usuarios directamente.
UNC6395 ejecutó consultas sistemáticas de SOQL (Salesforce Object Consulty) para enumerar y extraer datos de objetos críticos de Salesforce, incluidos casos, cuentas, usuarios y oportunidades.
El actor demostró sofisticación técnica al ejecutar consultas de conteo para evaluar los volúmenes de datos antes de la exfiltración:
Vendedor fijado que el atacante se dirigió específicamente a las claves de acceso de AWS (identificadores de Akia), contraseñas, credenciales de copo de nieve y otros materiales de autenticación sensibles almacenados en campos personalizados de Salesforce y objetos estándar.
El análisis posterior a la exciltración reveló que el actor buscó datos extraídos para patrones que coincidan con formatos de credenciales, lo que indica un objetivo principal de la recolección de credenciales en lugar del robo de datos tradicional.
Mitigatones
Salesforce y SalesLoft respondieron revocando todos los tokens OAuth activos asociados con la solicitud de deriva el 20 de agosto de 2025, terminando efectivamente el vector de ataque.
La aplicación de deriva se eliminó posteriormente de Salesforce AppExchange en espera de una revisión de seguridad integral.
Las organizaciones que utilizan la integración de deriva de SalesLoft deben implementar inmediatamente varias medidas de remediación.
Los registros de monitoreo de eventos deben revisarse para obtener eventos únicos sospechosos y anomalías de autenticación asociadas con la aplicación conectada a la deriva.
Los equipos de seguridad deben escanear objetos de Salesforce para secretos expuestos utilizando herramientas como Trufflehog y buscar patrones que incluyan “Akia”, “Snowflakecomputing (.) Com” y referencias genéricas de credenciales.
Los permisos de aplicaciones conectados requieren endurecimiento inmediato a través de la restricción del alcance, las restricciones de direcciones IP e implementación del principio de menor privilegio.
El permiso “API habilitado” debe eliminarse de los perfiles de usuario y otorgarse selectivamente a través de conjuntos de permisos solo al personal autorizado.
Las configuraciones de tiempo de espera de la sesión en la configuración de la sesión deben optimizarse para limitar las ventanas de exposición para las credenciales comprometidas.
Este incidente destaca la importancia crucial de asegurar la integración de terceros y la necesidad de monitoreo continuo de aplicaciones habilitadas para OAUTH con acceso a repositorios de datos corporativos confidenciales.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
