Redazione RHC : 27 Agosto 2025 12:57
E’ stata condotta una campagna sofisticata per esfiltrare dati mirata alle istanze Salesforce delle aziende, la quale ha portato all’esposizione di informazioni sensibili di varie organizzazioni. Ciò è avvenuto attraverso token OAuth compromessi, associati all’applicazione di terze parti Salesloft Drift.
Il threat actor, identificato come UNC6395, ha raccolto credenziali e dati sensibili nel periodo compreso tra l’8 e il 18 agosto 2025. Questo ha dimostrato una notevole conoscenza delle procedure di sicurezza operative, in quanto sono state eseguite query SOQL su diversi oggetti Salesforce.
UNC6395 ha eseguito query SOQL (Salesforce Object Query Language) sistematiche per enumerare ed estrarre dati da oggetti Salesforce critici, tra cui casi, account, utenti e opportunità. La segnalazione arriva da Google Threat Intelligence Group che l’autore della minaccia ha utilizzato token di accesso OAuth compromessi e token di aggiornamento dall’applicazione Salesloft Drift per autenticarsi sulle istanze Salesforce di destinazione.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Salesloft ha affermato che l’aggressore ha preso di mira specificamente le chiavi di accesso AWS (identificatori AKIA), le password, le credenziali Snowflake e altri materiali di autenticazione sensibili archiviati nei campi personalizzati e negli oggetti standard di Salesforce.
UNC6395 sfruttava meccanismi di autenticazione OAuth legittimi per ottenere l’accesso non autorizzato, aggirando i controlli di sicurezza tradizionali e rendendo il rilevamento particolarmente difficile per le organizzazioni interessate.
Salesforce e Salesloft hanno risposto revocando tutti i token OAuth attivi associati all’applicazione Drift il 20 agosto 2025, interrompendo di fatto il vettore di attacco. L’analisi post-esfiltrazione ha rivelato che l’attore ha cercato nei dati estratti modelli corrispondenti ai formati delle credenziali, indicando un obiettivo primario della raccolta delle credenziali piuttosto che del tradizionale furto di dati.
Questo vettore di attacco sfrutta il framework di autorizzazione OAuth 2.0, il quale consente alle applicazioni di terze parti di accedere ai dati Salesforce senza esporre direttamente le credenziali dell’utente. L’attore ha dimostrato una certa sofisticatezza tecnica eseguendo query COUNT per valutare i volumi di dati prima dell’esfiltrazione:
L’applicazione Drift è stata successivamente rimossa da Salesforce AppExchange in attesa di una revisione completa della sicurezza
RedazioneIl lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
ROMA – La profonda crisi istituzionale che ha investito l’Autorità Garante per la Protezione dei Dati Personali ha spinto Guido Scorza, componente del Collegio, a un intervento pubblico mirato a ...
Negli ultimi anni, il panorama della sicurezza informatica in Italia ha visto una preoccupante escalation di attacchi, con un aumento significativo dei crimini informatici. Un fenomeno particolarmente...
Quest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
Il CERT-AGID ha rilevato recentemente una sofisticata campagna di phishing mirato che sta prendendo di mira gli studenti dell’Università di Padova (UniPd). L’operazione, ancora in corso, sfrutta ...
