Клиенты Salesloft Drift подверглись гораздо более масштабной атаке, чем считалось ранее, что потенциально может запутать любого пользователя, интегрировавшего платформу чат-агента на основе ИИ в другой сервис.
«Мы рекомендуем организациям рассматривать любую интеграцию Drift на любой платформе как потенциально скомпрометированную, что расширяет круг жертв», — сообщил CyberScoop технический директор Mandiant Consulting Чарльз Кармакал. Расширенный радиус атаки включает клиентов Google Workspace, интегрировавших Salesloft Drift в свои экземпляры. Жертвы были уведомлены о том, что Google обнаружила доказательства компрометации.
Недавно обнаруженные доказательства доказывают, что злоумышленники, которых Google отслеживает как UNC6395, атаковали не только клиентов Salesforce, использовавших Salesloft Drift, как заявила компания Salesloft во вторник.
«Это действительно расширяет границы возможного», — заявил Остин Ларсен, главный аналитик угроз в Google Threat Intelligence Group.
Согласно руководству по интеграции сторонних инструментов, обновленному поставщиком в прошлом месяце, Salesloft Drift обеспечивает интеграцию с 58 сторонними инструментами для управления взаимоотношениями с клиентами, автоматизации, аналитики, продаж, коммуникаций и поддержки.
Salesloft обновил свой блог по безопасности, подтвердив, что последствия гораздо серьёзнее и масштабнее. Компания заявила, что сотрудничает с Mandiant, подразделением реагирования на инциденты Google Cloud, и киберстраховщиком Coalition для содействия в продолжающемся расследовании.
Платформа взаимодействия с клиентами, представляющая собой вариант CRM-системы, теперь рекомендует всем клиентам Drift, управляющим подключениями к сторонним приложениям через API-ключ, отозвать текущий ключ и перейти на новый. Компания Salesloft, купившая Drift в феврале 2024 года, не ответила на запрос о комментарии.
В ответ на растущий инцидент безопасности компания Salesforce заявила поздно вечером в среду, что отключила соединение между Drift и Salesforce , что привело к прекращению работы этих интеграций. В Salesforce отказались отвечать на вопросы и заявили, что проблема не связана с уязвимостью платформы Salesforce.
Несмотря на рост числа жертв, Google придерживается оценок, озвученных во вторник, и подтверждает, что потенциально затронуты более 700 организаций. Тем не менее, очевидно, что исследователи продолжают выявлять все возможные пути взлома.
«Мы увидели свидетельства того, что и другие платформы также пострадали», — сказал Кармакал.
В инциденте также могли участвовать бывшие клиенты Drift. Компания Mandiant идентифицировала одну жертву, которая, возможно, была бывшим клиентом Drift, но исследователи всё ещё работают над подтверждением этих данных.
GTIG сообщила, что финансово мотивированная группа хакеров UNC6395 также похитила токены OAuth для множества сервисов, в том числе те, которые позволяли ей «получать доступ к электронной почте из очень небольшого числа учётных записей Google Workspace». Злоумышленники в первую очередь стремились похитить учётные данные для компрометации других систем, подключенных к первоначальным жертвам, в частности, они искали ключи доступа к Amazon Web Services, учётные данные виртуальных частных сетей и учётные данные Snowflake.
Первопричина атак, а именно то, каким образом UNC6395 получил первоначальный доступ к Salesloft Drift, остаётся неподтверждённой. Исследователи также работают над определением полного масштаба взлома инфраструктуры Salesloft Drift.
«Мы работаем с Salesloft Drift над расследованием первопричины произошедшего, а затем они должны будут опубликовать результаты», — сказал Кармакал. «Завтра, послезавтра и послезавтра будет ещё много информации»
«Мы рекомендуем организациям рассматривать любую интеграцию Drift на любой платформе как потенциально скомпрометированную, что расширяет круг жертв», — сообщил CyberScoop технический директор Mandiant Consulting Чарльз Кармакал. Расширенный радиус атаки включает клиентов Google Workspace, интегрировавших Salesloft Drift в свои экземпляры. Жертвы были уведомлены о том, что Google обнаружила доказательства компрометации.
Недавно обнаруженные доказательства доказывают, что злоумышленники, которых Google отслеживает как UNC6395, атаковали не только клиентов Salesforce, использовавших Salesloft Drift, как заявила компания Salesloft во вторник.
«Это действительно расширяет границы возможного», — заявил Остин Ларсен, главный аналитик угроз в Google Threat Intelligence Group.
Согласно руководству по интеграции сторонних инструментов, обновленному поставщиком в прошлом месяце, Salesloft Drift обеспечивает интеграцию с 58 сторонними инструментами для управления взаимоотношениями с клиентами, автоматизации, аналитики, продаж, коммуникаций и поддержки.
Salesloft обновил свой блог по безопасности, подтвердив, что последствия гораздо серьёзнее и масштабнее. Компания заявила, что сотрудничает с Mandiant, подразделением реагирования на инциденты Google Cloud, и киберстраховщиком Coalition для содействия в продолжающемся расследовании.
Платформа взаимодействия с клиентами, представляющая собой вариант CRM-системы, теперь рекомендует всем клиентам Drift, управляющим подключениями к сторонним приложениям через API-ключ, отозвать текущий ключ и перейти на новый. Компания Salesloft, купившая Drift в феврале 2024 года, не ответила на запрос о комментарии.
В ответ на растущий инцидент безопасности компания Salesforce заявила поздно вечером в среду, что отключила соединение между Drift и Salesforce , что привело к прекращению работы этих интеграций. В Salesforce отказались отвечать на вопросы и заявили, что проблема не связана с уязвимостью платформы Salesforce.
Несмотря на рост числа жертв, Google придерживается оценок, озвученных во вторник, и подтверждает, что потенциально затронуты более 700 организаций. Тем не менее, очевидно, что исследователи продолжают выявлять все возможные пути взлома.
«Мы увидели свидетельства того, что и другие платформы также пострадали», — сказал Кармакал.
В инциденте также могли участвовать бывшие клиенты Drift. Компания Mandiant идентифицировала одну жертву, которая, возможно, была бывшим клиентом Drift, но исследователи всё ещё работают над подтверждением этих данных.
GTIG сообщила, что финансово мотивированная группа хакеров UNC6395 также похитила токены OAuth для множества сервисов, в том числе те, которые позволяли ей «получать доступ к электронной почте из очень небольшого числа учётных записей Google Workspace». Злоумышленники в первую очередь стремились похитить учётные данные для компрометации других систем, подключенных к первоначальным жертвам, в частности, они искали ключи доступа к Amazon Web Services, учётные данные виртуальных частных сетей и учётные данные Snowflake.
Первопричина атак, а именно то, каким образом UNC6395 получил первоначальный доступ к Salesloft Drift, остаётся неподтверждённой. Исследователи также работают над определением полного масштаба взлома инфраструктуры Salesloft Drift.
«Мы работаем с Salesloft Drift над расследованием первопричины произошедшего, а затем они должны будут опубликовать результаты», — сказал Кармакал. «Завтра, послезавтра и послезавтра будет ещё много информации»
