Инцидент с платформой Salesloft затронул не только CRM‑среды: по данным Google Threat Intelligence (Mandiant), злоумышленники провели серию атак на интеграции Drift, похитив OAuth и refresh‑токены и получив доступ к данным в Salesforce и Google Workspace. Хронология указывает на активность в период с 8 по 18 августа 2025 года, а масштаб оказался шире первоначальных оценок.
Что произошло: временные рамки, цель и масштаб
SalesDrift — это интеграционная прослойка, связывающая ИИ‑чат‑бот Drift с инстансами Salesforce для синхронизации разговоров, лидов и тикетов. Вектор атаки был нацелен на OAuth‑авторизацию: злоумышленники завладели клиентскими токенами Drift, применявшимися для интеграции с Salesforce, и использовали их для извлечения данных.
По словам Salesloft, основная мотивация атакующих — кража секретов: ключей доступа AWS, паролей и токенов, в том числе связанных со Snowflake. Компания совместно с Salesforce отозвала активные access‑ и refresh‑токены Drift, а приложение изъято из Salesforce AppExchange до завершения расследования и подтверждения безопасности.
TTP, инфраструктура и следы атаки
Google TI (Mandiant) атрибутирует кампанию группе UNC6395. После проникновения в Salesforce злоумышленники выполняли SOQL‑запросы, извлекая аутентификационные токены, пароли и секреты из обращений в поддержку — типичный пример злоупотребления доверенной средой для горизонтального перемещения. Отмечена попытка скрыть следы путем удаления заданий запросов; при этом журналы сохранились и доступны для форензики.
Для маскировки инфраструктуры использовались Tor и хостинг‑провайдеры (включая AWS и DigitalOcean). В логах встречались User‑Agent строки, связанные с утечкой: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, а также названия кастомных инструментов вроде Salesforce-Multi-Org-Fetcher/1.0 и Salesforce-CLI/1.0.
Выход за рамки Salesforce: компрометация Google Workspace
По обновленной информации Google, украденные OAuth‑токены Drift Email были использованы 9 августа для доступа к электронной почте «небольшого числа» учетных записей Google Workspace, интегрированных с Drift. Это означает, что проблема не ограничивается связкой Drift–Salesforce и затрагивает другие коннекторы.
Рекомендация Google: организации, использующие Drift, должны считать все токены аутентификации, хранящиеся или подключенные к платформе Drift, потенциально скомпрометированными. В ответ Salesforce временно отключила интеграции Drift с Salesforce, Slack и Pardot.
Атрибуция и смежные кампании
Хотя Mandiant указывает на UNC6395, группировка ShinyHunters заявляла о причастности, а затем отрицала связь именно с эпизодом извлечения данных из тикетов поддержки. На фоне недавних инцидентов вокруг Salesforce и активности ShinyHunters пострадали крупные бренды: Adidas, Qantas, Allianz Life, ряд домов LVMH (Louis Vuitton, Dior, Tiffany & Co), Cisco.com, Chanel и Pandora. Сообщалось также о коллаборации с Scattered Spider под названием Sp1d3rHunters, отвечающей за первичный доступ.
Почему это важно: системные риски OAuth и хранение секретов
Техника злоумышленников укладывается в MITRE ATT&CK как Use of Alternate Authentication Material (T1550): кража и повторное использование валидных токенов обходят традиционные проверки паролей и MFA. Дополнительный фактор риска — хранение чувствительных данных (ключи AWS, токены Snowflake) внутри тикетов поддержки и CRM‑записей, где они часто остаются вне периметра секрет‑менеджмента и DLP.
Что делать: приоритетные меры реагирования и укрепления защиты
1) Предположить компрометацию токенов Drift. Отозвать и заново выдать все OAuth/refresh‑токены, связанные с Drift, во всех интеграциях (Salesforce, Google Workspace, Slack, Pardot и др.). В Salesforce проверить Connected Apps, политики OAuth и ограничения токенов; в Google Workspace — App Access Control и OAuth Token Audit.
2) Ротация секретов и закрытие боковых каналов. Поменять ключи AWS IAM, ротация паролей и токенов Snowflake и других подключенных SaaS/облаков. Проверить, что у Drift нет избыточных прав доступа (принцип наименьших привилегий).
3) Анализ журналов и IoC. Поиск нестандартных SOQL‑запросов, массовых выгрузок, удаленных заданий запросов; аномалий авторизации из Tor, AWS/DO; User‑Agent: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce‑Multi‑Org‑Fetcher/1.0, Salesforce‑CLI/1.0. Временное окно: 8–18 августа 2025 года и далее.
4) Гигиена секретов и DLP. Запрет на размещение ключей и токенов в тикетах поддержки и полях CRM; автоматическое маскирование, детектирование и выемка секретов средствами DLP; перевод секретов в специализированные хранилища.
5) Укрепление контроля OAuth. Сокращение жизненного цикла refresh‑токенов, мониторинг неиспользуемых грантов, привязка к сетевым зонам/IP‑диапазонам, высокоассурное повторное прохождение аутентификации для чувствительных операций.
Инцидент с Drift демонстрирует, как злоупотребление OAuth‑токенами и «теневые» секреты в поддержке приводят к каскадным компрометациям облачных экосистем. Организациям стоит немедленно провести ревизию интеграций, отозвать токены, инициировать ротацию секретов и усилить DLP. Чем быстрее закрыт канал повторного использования токенов и очищены хранилища от секретов, тем ниже риск дальнейшего распространения атаки.
