Серія пов’язаних інцидентів із платформою Salesloft та інтеграціями Drift вийшла за межі CRM. За даними Google Threat Intelligence (Mandiant), у період з 8 по 18 серпня 2025 року зловмисники викрадали OAuth і refresh‑токени, що дозволило їм отримати дані з Salesforce, а також доступ до електронної пошти низки акаунтів Google Workspace, інтегрованих із Drift Email.
Що сталося: таймлайн, цілі атаки та масштаб
Інтеграційний шар SalesDrift зв’язує ІІ‑чат‑бот Drift із інстансами Salesforce для синхронізації діалогів, лідів і звернень. Атака була націлена на OAuth‑авторизацію: викрадені клієнтські токени Drift, що застосовувалися в інтеграції з Salesforce, використовувалися для подальшого вилучення даних і таємниць.
За повідомленням Salesloft, основною мотивацією було викрадення секретів: ключів доступу AWS, паролів і токенів (зокрема, пов’язаних зі Snowflake). У співпраці із Salesforce активні access‑ і refresh‑токени Drift було відкликано, а застосунок тимчасово вилучено з Salesforce AppExchange до завершення перевірок безпеки.
TTP та інфраструктура UNC6395: як діяли зловмисники
Mandiant атрибутує кампанію групі UNC6395. Після входу до середовищ Salesforce нападники виконували SOQL‑запити для вилучення автентифікаційних токенів, паролів і секретів з історії звернень у підтримку — типовий сценарій зловживання довіреним середовищем для горизонтального переміщення. Фіксувалися спроби приховати сліди через видалення завдань запитів, однак журнали подій збереглися і можуть бути використані у форензичних розслідуваннях.
Для маскування використовувалися мережа Tor та хостинг‑провайдери на кшталт AWS і DigitalOcean. У логах помічені характерні User‑Agent рядки: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, а також назви кастомних інструментів Salesforce-Multi-Org-Fetcher/1.0 і Salesforce-CLI/1.0.
За межами Salesforce: доступ до Google Workspace
За оновленою інформацією Google, викрадені OAuth‑токени Drift Email 9 серпня було використано для доступу до поштових скриньок «невеликої кількості» облікових записів Google Workspace, інтегрованих із Drift. Це свідчить, що ризик виходить за межі пари Drift–Salesforce й зачіпає інші конектори.
Рекомендація Google: організаціям, які використовують Drift, слід вважати всі автентифікаційні токени, що зберігаються або підключені у Drift, потенційно скомпрометованими. У відповідь Salesforce тимчасово вимкнула інтеграції Drift із Salesforce, Slack і Pardot.
Атрибуція та дотичні кампанії
Попри вказівку Mandiant на UNC6395, група ShinyHunters заявляла про причетність, а згодом заперечувала свій зв’язок саме з епізодом витягування даних із тикетів підтримки. На тлі нещодавніх інцидентів довкола Salesforce і активності ShinyHunters постраждали відомі бренди, зокрема Adidas, Qantas, Allianz Life, низка домів LVMH (Louis Vuitton, Dior, Tiffany & Co), Cisco.com, Chanel і Pandora. Також повідомлялося про кооперацію зі Scattered Spider під назвою Sp1d3rHunters, відповідальну за первинний доступ.
Чому це важливо: ризики OAuth і «тіньові» секрети
Застосована техніка відповідає MITRE ATT&CK T1550 Use of Alternate Authentication Material: повторне використання валідних токенів оминає паролі та навіть MFA. Додатковий ризик — зберігання чутливих даних (ключів AWS, токенів Snowflake) у полях CRM і тикетах підтримки, які часто залишаються поза системним менеджментом секретів і DLP‑контролями.
Що робити: пріоритетні кроки реагування та зміцнення захисту
1) Припустити компрометацію токенів Drift. Негайно відкликати та перевидати всі OAuth/refresh‑токени, пов’язані з Drift, у всіх інтеграціях (Salesforce, Google Workspace, Slack, Pardot тощо). У Salesforce перевірити Connected Apps, політики OAuth і обмеження токенів; у Google Workspace — App Access Control і OAuth Token Audit.
2) Ротація секретів і ліквідація бокових каналів. Замінити ключі AWS IAM, паролі, токени Snowflake та інших підключених сервісів. Переконатися, що Drift працює за принципом найменших привілеїв.
3) Аналіз логів та IoC. Шукати нетипові SOQL‑запити, масові експортні операції, видалені завдання запитів; аномалії автентифікації з Tor/AWS/DigitalOcean; User‑Agent: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce‑Multi‑Org‑Fetcher/1.0, Salesforce‑CLI/1.0. Орієнтовне вікно — 8–18 серпня 2025 року і пізніше.
4) Гігієна секретів і DLP. Заборонити розміщення ключ
