Mandiantによる調査で攻撃が数か月前から始まっていたことが判明し、大規模なサプライチェーン攻撃につながりました。
Salesloftは、Mandiantによる調査で8月のサプライチェーン攻撃がSalesloftのGitHubアカウントの侵害に関連していたことが判明した後、DriftプラットフォームとSalesforceとの統合を復旧したと、日曜日に自社ウェブサイトで発表しました。
UNC6395として追跡されている脅威グループが、8月にSalesloft Driftを悪用して認証情報収集キャンペーンを実施し、数百のSalesforceインスタンスを標的に、侵害されたOAuthトークンを使用しました。
Mandiantの調査によると、攻撃者は2025年3月から6月の間にSalesloftのGitHubアカウントへアクセスし、その後複数のリポジトリからコンテンツをダウンロードし、ワークフローを構築できたとSalesloftは土曜日の更新で述べています。
3月から6月の間、ハッカーはSalesloftおよびDriftアプリケーション環境で偵察活動を行いました。
「その後、脅威アクターはDriftのAWS環境にアクセスし、Drift顧客の技術統合用OAuthトークンを取得しました」とSalesloftは投稿で述べています。
研究者らは先月、Salesloftに対する認証情報収集攻撃が、今後さらなる攻撃の前兆である可能性が高いと警告しました。
先週、複数の大手セキュリティ企業が、サプライチェーン攻撃の下流顧客として影響を受けたことを確認しました。Palo Alto Networks、Zscaler、ProofpointおよびCloudflareのSalesforceインスタンスが、このキャンペーンによって侵害されたことを全社が認めました。
翻訳元: https://www.cybersecuritydive.com/news/salesloft-drift-restored-probe-github/759506/