详细内容或原文请订阅后点击阅览
数百个Salesforce客户Orgs遭受了巧妙的攻击,潜在的巨大爆炸半径
一个威胁组的Google跟踪,因为UNC6395已从Salesforce公司实例中偷走了数据,以寻找可用于损害这些组织环境的凭据。该公司的事件响应者分享道:“ [Google Travent Intelligence Group]观察到UNC6395针对敏感凭据,例如Amazon Web Services(AWS)访问密钥(AKIA),密码和与雪花相关的访问令牌。” UND6395如何访问Salesforce实例? Salesforce是一个基于云的客户关系管理平台。为了访问目标……更多→在巧妙的攻击中,数百名Salesforce客户ORG击中了可能的巨大爆炸半径,首先出现在帮助净安全性方面。
来源:Help Net Security _云安全一个威胁组的Google跟踪,因为UNC6395已从Salesforce公司实例中偷走了数据,以寻找可用于损害这些组织环境的凭据。
“ [Google威胁情报小组]观察到UNC6395针对敏感凭证,例如Amazon Web Services(AWS)访问密钥(AKIA),密码和与雪花相关的访问令牌,”该公司的事件响应者分享。
UNC6395如何访问Salesforce实例?
Salesforce是一个基于云的客户关系管理平台。
为了访问目标组织的Salesforce实例,威胁参与者首先妥协了与SalesLoft Drift相关的OAuth(访问)代币,这是一个集成到SalesLoft Revenue CorceStration平台中的AI-Drive Live Chat工具。
目前攻击者如何将他们的手放在Oauth代币上。目前已知的是,从2025年8月8日至8月18日,他们用它们来渗透数据。
“威胁行为者执行了查询,以检索与各种Salesforce对象相关的信息,包括案例,帐户,用户和机会,” Salesloft周二说。 “我们已经确定,这一事件并没有影响不使用我们漂流 - 销售集成的客户。”
说明那些做的人应该考虑损害其Salesforce数据,并敦促进行调查并采取补救步骤。
该怎么办?
“ 2025年8月20日,SalesLoft与Salesforce合作,通过Drift应用程序撤销了所有主动访问和刷新。此外,Salesforce从Salesforce AppExchange中删除了Drift应用程序,直到进一步注意到进一步的调查。此问题并不源于核心销售平台中的脆弱性,” Gtig Researchers。
显然已经通知了受影响的组织,Google和Salesloft都有共享妥协(用户代理字符串和IP地址)组织可以检查的指标。
注明 包括Google