Обнаруженная недавно кампания атак на цепочку поставок, нацеленная на данные Salesforce через приложение Salesloft Drift, оказалась более масштабной, чем предполагалось. Речь идёт об ИИ-чат-боте, который имитирует человеческое общение с потенциальными клиентами в режиме реального времени. Он получил широкое распространение благодаря возможностям интеграции с различными бизнес-платформами.

Ранее Google Threat Intelligence Group (GTIG) — команда техгиганта, занимающаяся анализом и отслеживанием киберугроз, сообщила, что злоумышленники атаковали не только интеграцию Salesforce с Salesloft Drift, но и «очень небольшое количество» учётных записей Google Workspace. Всем клиентам порекомендовали рассматривать любые токены аутентификации, хранящиеся на платформе Drift или подключенные к ней, как потенциально скомпрометированные и принять соответствующие защитные меры.

Как на днях заявила GTIG, хакер, известный под ником UNC6395, воздействовал на «множество» клиентов Salesforce в период с 8 по 18 августа, систематически похищая большие объёмы информации. В то время отмечалось, что целью злоумышленника был сбор учётных данных: ключи доступа AWS (Amazon Web Services), а также пароли и токены доступа, связанные с Snowflake. Предполагается, что пострадали сотни организаций. Преступники взломали корпоративные экземпляры Salesforce, выкрав токены OAuth (Open Authorization) для интеграции чата Drift AI компании Salesloft с Salesforce.

ИБ-эксперты из Astrix выявили 183 ранее не разглашавшихся индикатора компрометации (IoC) на основе IP-адресов, относящихся к кампании. Все они представляют собой выходные узлы Tor. Эта активность была связана с вредоносной учётной записью AWS, которая использовала имена контейнеров, извлечённые из скомпрометированных сред Salesforce, для доступа к контейнерам S3.

«Неудачные попытки аутентификации непреднамеренно раскрыли идентификатор вредоносной учётной записи AWS злоумышленника, — пояснили в Astrix. — Наш анализ показывает, что она начала операции в начале августа 2025 года, что совпало с более масштабной кампанией». Безопасники призвали организации улучшить управление токенами OAuth во всех своих облачных учётных записях.

Усам Оздемиров