Redazione RHC : 27 agosto 2025 12:58
Se llevó a cabo una sofisticada campaña de exfiltración de datos dirigida a las instancias de Salesforce de varias empresas, lo que resultó en la exposición de información confidencial de varias organizaciones. Esto se produjo a través de tokens OAuth comprometidos asociados con la aplicación de terceros Salesloft Drift.
El actor de amenazas, identificado como UNC6395, recopiló credenciales y datos confidenciales entre el 8 y el 18 de agosto de 2025. Esto demostró un conocimiento significativo de los procedimientos de seguridad operativa, ya que se ejecutaron consultas SOQL en múltiples objetos de Salesforce.
UNC6395 ejecutó consultas sistemáticas de lenguaje de consulta de objetos de Salesforce (SOQL) para enumerar y extraer datos de objetos críticos de Salesforce, incluyendo casos, cuentas, usuarios y oportunidades. El informe, elaborado por el Grupo de Inteligencia de Amenazas de Google, indica que el atacante utilizó tokens de acceso OAuth y tokens de actualización comprometidos de la aplicación Salesloft Drift para autenticarse en las instancias de Salesforce objetivo.
Salesloft afirmó que el atacante se dirigió específicamente a claves de acceso de AWS (identificadores AKIA), contraseñas, credenciales de Snowflake y otros materiales de autenticación confidenciales almacenados en campos personalizados y objetos estándar de Salesforce.
UNC6395 aprovechó mecanismos legítimos de autenticación OAuth para obtener acceso no autorizado, eludiendo los controles de seguridad tradicionales y dificultando especialmente la detección para las organizaciones afectadas.
Salesforce y Salesloft respondieron revocando todos los tokens OAuth activos asociados con la aplicación Drift el 20 de agosto de 2025, lo que frenó eficazmente el vector de ataque. El análisis posterior a la exfiltración reveló que el actor buscó en los datos extraídos patrones que coincidieran con los formatos de credenciales, lo que indica que el objetivo principal era la recolección de credenciales, en lugar del robo de datos tradicional.
Este vector de ataque aprovecha el marco de autorización OAuth 2.0, que permite a las aplicaciones de terceros acceder a los datos de Salesforce sin exponer directamente las credenciales de los usuarios. El actor demostró sofisticación técnica al ejecutar consultas COUNT para evaluar el volumen de datos antes de la exfiltración:
La aplicación Drift fue posteriormente eliminada de Salesforce AppExchange a la espera de una revisión de seguridad completa.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
