Supply-Chain атака през Salesloft Drift засегна Zscaler и Palo Alto Networks
Две от водещите компании за киберсигурност – Zscaler и Palo Alto Networks – потвърдиха за ограничено изтичане на данни вследствие на мащабна supply-chain атака, насочена към Salesloft Drift, SaaS платформа за маркетинг интеграции.
Какво се случи
Между 8 и 18 август 2025 г. атакуващи, свързвани с групата UNC6395, са откраднали OAuth и refresh токени от интеграцията на Drift със Salesforce.
Чрез тях е извлечена клиентска информация от Salesforce среди, включително на Zscaler и Palo Alto Networks.
Изложените данни включват бизнес контакти, имейли, телефонни номера, продуктови и лицензионни детайли, както и ограничено съдържание от support заявки.
Важно: няма засегнати продукти, услуги или инфраструктура на компаниите.
Реакции и въздействие
Zscaler: потвърди неоторизиран достъп до Salesforce данни (контакти и case записи), подчертавайки, че няма доказателства за злоупотреба и техните услуги остават неповлияни.
Palo Alto Networks: съобщи за ограничено въздействие върху своята Salesforce CRM среда, включващо предимно бизнес контакти и вътрешни акаунти. Екипът на Unit 42 заключи, че продукти и системи не са засегнати.
Salesloft & Salesforce: анулираха всички токени и временно спряха интеграциите със Salesforce.
Google/Mandiant: препоръчаха всички клиенти на Salesloft Drift да третират authentication токените като компрометирани.
По-широки рискове
Разследвания показват, че атакуващите са използвали анти-форензични техники, за да изтрият следи от заявките си в Salesforce логовете. Експерти предупреждават, че обхватът може да надхвърля Salesforce, включвайки Google Workspace и други облачни среди. Според анализи над 700 организации може да са засегнати.
Препоръки към организациите
Аудит и ротация на креденшъли: незабавно отмяна и подмяна на OAuth токени, API ключове и изложени тайни.
Преглед на логове: анализ на Salesforce, identity provider и network flow логове за подозрителни активности.
Бдителност към социално инженерство: очаквани са phishing кампании с използване на изтеклите бизнес контакти.
Прилагане на Zero Trust: всяка интеграция да се третира като потенциален вектор на атака, с непрекъснат мониторинг и проактивен threat hunting.
DIAMATIX Insight: Няма „периферни“ рискове — всяка интеграция е потенциална входна точка. Нашите SOCaaS и Shield XDR осигуряват 24×7 наблюдение, проактивно засичане и реакция срещу supply-chain заплахи.
Trusted · Innovative · Vigilant.
Получавайте актуални новини и експертни анализи за киберсигурност
