Salesloft Drift를 통한 Salesforce... 노트

Salesloft Drift를 통한 Salesforce 인스턴스 대상 광범위한 데이터 도난

Google 위협 인텔리전스 그룹(GTIG)은 UNC6395라는 공격자에 의한 광범위한 데이터 절도 캠페인에 대한 권고문을 발표했습니다. 2025년 8월 8일부터 8월 18일까지 활동한 이 캠페인은 Salesforce 고객 인스턴스를 대상으로 했습니다. UNC6395는 Salesloft Drift 타사 애플리케이션과 관련된 손상된 OAuth 토큰을 악용했습니다. 공격자는 대량의 데이터를 체계적으로 내보냈으며, 주로 자격 증명을 수집하는 것을 목표로 삼았습니다. 구체적으로 UNC6395는 AWS 액세스 키, 비밀번호, Snowflake 토큰과 같은 민감한 정보를 검색했습니다. UNC6395가 쿼리 작업을 삭제하여 흔적을 은폐하려고 시도했지만, 포렌식 분석을 위한 로그는 여전히 남아 있습니다. Salesloft는 Drift 애플리케이션에 대한 모든 활성 토큰을 취소했으며 Salesforce AppExchange에서 이를 제거했습니다. 이 사건은 핵심 Salesforce 플랫폼의 취약점에서 비롯된 것이 아닙니다. GTIG는 Salesforce와 함께 Drift를 사용하는 조직에게 해당 데이터가 손상되었을 가능성을 고려하고 즉각적인 복구 조치를 취할 것을 권고합니다. 이러한 조치에는 검색된 모든 비밀 정보에 대한 검색 및 교체, 비밀번호 재설정, 연결된 애플리케이션에 대한 액세스 제어 강화 등이 포함됩니다.