El Grupo de Inteligencia de Amenazos de Google (GTIG) ha revelado que los piratas informáticos cosecharon las credenciales de los usuarios de los clientes de Salesforce en una campaña generalizada durante la primera mitad de este mes. El atacante, rastreado como UNC6395, se dirigió a los clientes de Salesforce dirigidos a través de los tokens OAuth comprometidos asociados con la aplicación de Salesfroft Drift de terceros. Evalúa la intención principal del actor de amenaza es cosechar credenciales «, dijeron los investigadores en un asesoramiento.» Después de exfiltrados los datos, el actor buscó a través de los datos para buscar secretos que podrían ser potencialmente utilizados para comprometer entornos de víctimas «. Estos secretos incluyeron credenciales sensibles como los servicios web de los Amazon. Las técnicas utilizadas en esta campaña no fueron novedosas en términos de explotación. e intentó cubrir sus pistas eliminando los trabajos. «Regístrese hoy y recibirá una copia gratuita de nuestro Informe Future Focus 2025: la guía líder sobre IA, ciberseguridad y otros desafíos de TI según más de 700 ExecessalesSloft de Senior Senior, trabajando con Salesforce, ahora ha revocado todo el acceso activo y refrescan los tokens dentro de la aplicación Drift. Salesforce también ha eliminado la aplicación de deriva del Salesforce AppExchange hasta un aviso adicional, en espera de una mayor investigación. Mientras que UNC6395 demostró conciencia de seguridad operativa al eliminar los trabajos de consulta, los investigadores dijeron que los registros no se vieron afectados. Como tal, las organizaciones aún deben revisar los registros relevantes para la evidencia de la exposición a los datos. Deben buscar información confidencial y secretos contenidos dentro de los objetos de Salesforce y tomar medidas apropiadas, como revocar inmediatamente las claves de API, restablecer contraseñas, credenciales giratorias y revisar los permisos de los investigadores también para llevar a cabo las investigaciones para determinar si se ha sido los que se han presentado en los que se les permite la campaña. Las integraciones de SaaS-to-SAaS representan uno de los mayores riesgos y puntos ciegos para las organizaciones de hoy. Es muy probable que los sistemas conectados como AWS, Snowflake o VPN ya se hayan comprometido también. compromiso; (CRM)