Redazione RHC : 27 agosto 2025 12:58
Se llevó a cabo una sofisticada campaña de exfiltración de datos dirigida a las instancias de Salesforce de varias empresas, lo que resultó en la exposición de información confidencial de varias organizaciones. Esto se produjo a través de tokens OAuth comprometidos asociados con la aplicación de terceros Salesloft Drift.
El actor de amenazas, identificado como UNC6395, recopiló credenciales y datos confidenciales entre el 8 y el 18 de agosto de 2025. Esto demostró un conocimiento significativo de los procedimientos de seguridad operativa, ya que se ejecutaron consultas SOQL en múltiples objetos de Salesforce.
UNC6395 ejecutó consultas sistemáticas de lenguaje de consulta de objetos de Salesforce (SOQL) para enumerar y extraer datos de objetos críticos de Salesforce, incluyendo casos, cuentas, usuarios y oportunidades. El informe, elaborado por el Grupo de Inteligencia de Amenazas de Google, indica que el atacante utilizó tokens de acceso OAuth y tokens de actualización comprometidos de la aplicación Salesloft Drift para autenticarse en las instancias de Salesforce objetivo.
Salesloft afirmó que el atacante se dirigió específicamente a claves de acceso de AWS (identificadores AKIA), contraseñas, credenciales de Snowflake y otros materiales de autenticación confidenciales almacenados en campos personalizados y objetos estándar de Salesforce.
UNC6395 aprovechó mecanismos legítimos de autenticación OAuth para obtener acceso no autorizado, eludiendo los controles de seguridad tradicionales y dificultando especialmente la detección para las organizaciones afectadas.
Salesforce y Salesloft respondieron revocando todos los tokens OAuth activos asociados con la aplicación Drift el 20 de agosto de 2025, lo que frenó eficazmente el vector de ataque. El análisis posterior a la exfiltración reveló que el actor buscó en los datos extraídos patrones que coincidieran con los formatos de credenciales, lo que indica que el objetivo principal era la recolección de credenciales, en lugar del robo de datos tradicional.
Este vector de ataque aprovecha el marco de autorización OAuth 2.0, que permite a las aplicaciones de terceros acceder a los datos de Salesforce sin exponer directamente las credenciales de los usuarios. El actor demostró sofisticación técnica al ejecutar consultas COUNT para evaluar el volumen de datos antes de la exfiltración:
La aplicación Drift fue posteriormente eliminada de Salesforce AppExchange a la espera de una revisión de seguridad completa.
RedazioneConocemos al hombre considerado uno de los científicos más polifacéticos y brillantes del siglo pasado, quizá solo comparable a Einstein. Poseía un amplio abanico de talentos científicos, desarr...
Muchos de nosotros crecimos con Hiroshi Shiba, de Jeeg, el robot de acero que hablaba con su difunto padre, el profesor Senjiro Shiba, científico y arqueólogo, dentro de una gran computadora. En un ...
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
