Weitreichender Datendiebstahl über Drift-Integration auf Salesforce-Instanzen

Hacker nutzen kompromittierte OAuth-Token, um auf Unternehmensdaten in Salesforce zuzugreifen und diese zu stehlen.

Die Google Threat Intelligence Group (GTIG) hat eine Warnung vor einer groß angelegten Datendiebstahlkampagne veröffentlicht, die sich über die Drift-Integration gegen Salesforce-Instanzen richtet.

Laut GTIG steckt der als UNC6395 bezeichnete Akteur hinter den Angriffen. Zwischen dem 8. und 18. August 2025 zielte er auf Salesforce-Kundeninstanzen ab, indem er kompromittierte OAuth-Token aus der Drittanbieteranwendung Salesloft Drift missbrauchte. Der Angreifer exportierte systematisch große Datenmengen und suchte darin gezielt nach Anmeldedaten. Im Fokus standen unter anderem Amazon-Web-Services-Zugriffsschlüssel (AKIA), Passwörter und Snowflake-Token.

Um Spuren zu verwischen, löschte UNC6395 Abfrageaufträge, die Protokolle blieben jedoch erhalten. Unternehmen wird daher empfohlen, ihre Logs auf Anzeichen von Datenabflüssen zu überprüfen.

Salesloft betonte, dass Kunden ohne Salesforce-Integration nicht betroffen seien. Hinweise auf direkte Auswirkungen auf Google-Cloud-Kunden gebe es nicht. Dennoch sollten Nutzer von Salesloft Drift ihre Salesforce-Objekte auf GCP-Dienstkontoschlüssel prüfen.

Am 20. August 2025 widerrief Salesloft in Zusammenarbeit mit Salesforce alle aktiven Zugriffs- und Aktualisierungstoken der Drift-Anwendung. Zudem wurde die App vorläufig aus dem Salesforce AppExchange entfernt, bis die Untersuchungen abgeschlossen sind. Die Vorfälle stehen nicht im Zusammenhang mit einer Schwachstelle der Salesforce-Plattform selbst.

GTIG, Salesforce und Salesloft informierten die betroffenen Unternehmen.

Details zur Bedrohung

Der Angreifer führte Abfragen durch, um Informationen zu Salesforce-Objekten wie Fällen, Konten, Benutzern und Verkaufschancen abzurufen. Beispielsweise führte der Angreifer die folgende Abfragesequenz aus, um eine eindeutige Anzahl für jedes der zugehörigen Salesforce-Objekte zu erhalten.

SELECT COUNT() FROM Account;

SELECT COUNT() FROM Opportunity;

SELECT COUNT() FROM User;

SELECT COUNT() FROM Case;

Abfrage zum Abrufen von Benutzerdaten

SELECT Id, Username, Email, FirstName, LastName, Name, Title, CompanyName, 
Department, Division, Phone, MobilePhone, IsActive, LastLoginDate, 
CreatedDate, LastModifiedDate, TimeZoneSidKey, LocaleSidKey, 
LanguageLocaleKey, EmailEncodingKey 
FROM User 
WHERE IsActive = true
ORDER BY LastLoginDate DESC NULLS LAST 
LIMIT 20

Abfrage zum Abrufen von Falldaten

SELECT Id, IsDeleted, MasterRecordId, CaseNumber <snip>
FROM Case
LIMIT 10000

Empfehlungen

Angesichts der Beobachtungen von GTIG hinsichtlich der mit der Kampagne verbundenen Datenexfiltration sollten Unternehmen, die Drift in Verbindung mit Salesforce verwenden, davon ausgehen, dass ihre Salesforce-Daten kompromittiert wurden, und dringend sofortige Abhilfemaßnahmen ergreifen.

Betroffene Unternehmen sollten nach sensiblen Informationen und Geheimnissen in Salesforce-Objekten suchen und geeignete Maßnahmen ergreifen, z. B. API-Schlüssel widerrufen, Anmeldedaten rotieren und weitere Untersuchungen durchführen, um festzustellen, ob die Geheimnisse von dem Angreifer missbraucht wurden.

Untersuchen Sie auf Kompromittierungen und scannen Sie nach offengelegten Geheimnissen

• Suchen Sie nach den IP-Adressen und User-Agent-Strings, die im Abschnitt „IOCs“ unten angegeben sind. Diese Liste enthält zwar IPs aus dem Tor-Netzwerk, die bisher beobachtet wurden, Mandiant empfiehlt jedoch eine umfassendere Suche nach allen Aktivitäten, die von Tor-Ausgangsknoten ausgehen.
• Überprüfen Sie die Salesforce-Ereignisüberwachungsprotokolle auf ungewöhnliche Aktivitäten im Zusammenhang mit dem Drift-Verbindungsbenutzer.
• Überprüfen Sie die Authentifizierungsaktivitäten der Drift Connected App.
• Überprüfen Sie UniqueQuery-Ereignisse, die ausgeführte SOQL-Abfragen protokollieren.
• Eröffnen Sie einen Salesforce-Supportfall, um spezifische Abfragen zu erhalten, die vom Angreifer verwendet wurden.
• Durchsuchen Sie Salesforce-Objekte nach potenziellen Geheimnissen, wie z. B.:
  • AKIA für langfristige AWS-Zugriffsschlüssel-IDs
  • Snowflake oder snowflakecomputing.com für Snowflake-Anmeldedaten
  • Passwort, Geheimnis, Schlüssel, um potenzielle Verweise auf Anmeldedaten zu finden
  • Zeichenfolgen im Zusammenhang mit organisationsspezifischen Anmelde-URLs, z. B. VPN- oder SSO-Anmeldeseiten
• Führen Sie Tools wie Trufflehog aus, um Geheimnisse und fest codierte Anmeldedaten zu finden.

Anmeldedaten rotieren

• Widerrufen und rotieren Sie sofort alle entdeckten Schlüssel oder Geheimnisse.
• Setzen Sie die Passwörter für die zugehörigen Benutzerkonten zurück.
• Konfigurieren Sie die Werte für das Ablaufzeitlimit von Sitzungen in den Sitzungseinstellungen, um die Lebensdauer einer kompromittierten Sitzung zu begrenzen.

Zugriffskontrollen verstärken

• Überprüfen und einschränken Sie die Bereiche verbundener Apps: Stellen Sie sicher, dass Anwendungen nur über die minimal erforderlichen Berechtigungen verfügen, und vermeiden Sie zu großzügige Bereiche wie vollständigen Zugriff.
• IP-Einschränkungen für die verbundene App durchsetzen: Legen Sie in den Einstellungen der App die Richtlinie „IP-Relaxation” auf „IP-Einschränkungen durchsetzen” fest.
• IP-Bereiche für die Anmeldung definieren: Definieren Sie in den Benutzerprofilen IP-Bereiche, um nur den Zugriff aus vertrauenswürdigen Netzwerken zuzulassen.
• Die Berechtigung „API aktiviert” entfernen: Entfernen Sie die Berechtigung „API aktiviert” aus den Profilen und erteilen Sie sie nur autorisierten Benutzern über einen Berechtigungssatz.

Weitere Anweisungen und Updates finden Sie im Salesloft Trust Center und in der Salesforce-Empfehlung.

IOCs

Eine Sammlung von Kompromittierungsindikatoren (IOCs) ist in einer Google Threat Intelligence (GTI)-Sammlung für registrierte Benutzer verfügbar.

Indicator Value	Description
Salesforce-Multi-Org-Fetcher/1.0	Malicious User-Agent string
Salesforce-CLI/1.0	Malicious User-Agent string
python-requests/2.32.4	User-Agent string
Python/3.11 aiohttp/3.12.15	User-Agent string
208.68.36.90	DigitalOcean
44.215.108.109	Amazon Web Services
154.41.95.2	Tor exit node
176.65.149.100	Tor exit node
179.43.159.198	Tor exit node
185.130.47.58	Tor exit node
185.207.107.130	Tor exit node
185.220.101.133	Tor exit node
185.220.101.143	Tor exit node
185.220.101.164	Tor exit node
185.220.101.167	Tor exit node
185.220.101.169	Tor exit node
185.220.101.180	Tor exit node
185.220.101.185	Tor exit node
185.220.101.33	Tor exit node
192.42.116.179	Tor exit node
192.42.116.20	Tor exit node
194.15.36.117	Tor exit node
195.47.238.178	Tor exit node
195.47.238.83	Tor exit node

Vielleicht auch spannend für Sie

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky