E’ stata condotta una campagna sofisticata per esfiltrare dati mirata alle istanze Salesforce delle aziende, la quale ha portato all’esposizione di informazioni sensibili di varie organizzazioni. Ciò è avvenuto attraverso token OAuth compromessi, associati all’applicazione di terze parti Salesloft Drift.
Il threat actor, identificato come UNC6395, ha raccolto credenziali e dati sensibili nel periodo compreso tra l’8 e il 18 agosto 2025. Questo ha dimostrato una notevole conoscenza delle procedure di sicurezza operative, in quanto sono state eseguite query SOQL su diversi oggetti Salesforce.
UNC6395 ha eseguito query SOQL (Salesforce Object Query Language) sistematiche per enumerare ed estrarre dati da oggetti Salesforce critici, tra cui casi, account, utenti e opportunità. La segnalazione arriva da Google Threat Intelligence Group che l’autore della minaccia ha utilizzato token di accesso OAuth compromessi e token di aggiornamento dall’applicazione Salesloft Drift per autenticarsi sulle istanze Salesforce di destinazione.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Salesloft ha affermato che l’aggressore ha preso di mira specificamente le chiavi di accesso AWS (identificatori AKIA), le password, le credenziali Snowflake e altri materiali di autenticazione sensibili archiviati nei campi personalizzati e negli oggetti standard di Salesforce.
UNC6395 sfruttava meccanismi di autenticazione OAuth legittimi per ottenere l’accesso non autorizzato, aggirando i controlli di sicurezza tradizionali e rendendo il rilevamento particolarmente difficile per le organizzazioni interessate.
Salesforce e Salesloft hanno risposto revocando tutti i token OAuth attivi associati all’applicazione Drift il 20 agosto 2025, interrompendo di fatto il vettore di attacco. L’analisi post-esfiltrazione ha rivelato che l’attore ha cercato nei dati estratti modelli corrispondenti ai formati delle credenziali, indicando un obiettivo primario della raccolta delle credenziali piuttosto che del tradizionale furto di dati.
Questo vettore di attacco sfrutta il framework di autorizzazione OAuth 2.0, il quale consente alle applicazioni di terze parti di accedere ai dati Salesforce senza esporre direttamente le credenziali dell’utente. L’attore ha dimostrato una certa sofisticatezza tecnica eseguendo query COUNT per valutare i volumi di dati prima dell’esfiltrazione:
L’applicazione Drift è stata successivamente rimossa da Salesforce AppExchange in attesa di una revisione completa della sicurezza
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cybercrime
Cultura
Cultura
Cyberpolitica