В августе 2025 года была зафиксирована масштабная кампания компрометации, в которой злоумышленник, приписываемый группе UNC6395, использовал скомпрометированные интеграции для доступа к корпоративным средам. Инцидент затронул платформу автоматизации продаж Salesloft и показал эффективность атак через легитимные SaaS-интеграции — когда злоумышленники действуют не через вредоносное ПО, а с помощью похищенных токенов и API.
Краткое описание атаки
Кампания началась 8 августа и продолжалась как минимум до 18 августа. Атакующие использовали украденные OAuth и refresh токены из интеграции Drift AI chat, что позволило им получить устойчивый доступ к средам Salesforce без дополнительной аутентификации. Токены были отозваны как мера сдерживания 20 августа, однако это не полностью прервало активность: в начале сентября злоумышленники создали по крайней мере одну новую учетную запись пользователя, что указывает на стремление к долгосрочному закреплению доступа.
По оценке исследователей, инцидент демонстрирует, что злоумышленники все чаще переходят от классических атак с malware к злоупотреблению законными учетными данными и токенами для компрометации цепочек поставок ПО.
Методы и цели злоумышленников
Атака отличалась несколькими характерными шагами:
- Получение и использование легитимных токенов OAuth и refresh для доступа к API Salesloft/Salesforce;
- Сканирование историй и конфигураций в аккаунтах с помощью TruffleHog (инструмент с открытым исходным кодом) в поисках дополнительных учетных данных и ключей;
- Целевые запросы к объектам Salesforce — в частности Cases, Accounts, Users и Opportunities — что указывает на внутреннюю разведку и поиск конфиденциальной информации;
- Поиск и эксфильтрация дополнительных credential, например ключей AWS и учетных данных Snowflake;
- Создание новых учетных записей пользователей для сохранения доступа после частичной нейтрализации компрометации.
Почему атака прошла незамеченной
Злоумышленники использовали легитимные токены и имитировали обычный API-трафик, что позволило им ускользнуть от традиционных средств защиты — брандмауэров и endpoint protection. Их действия органично вписывались в обычную активность затронутых сервисов, что выявило следующие проблемы в текущих подходах к безопасности:
- Надмерное доверие к сторонним интеграциям и недостаточный контроль OAuth-разрешений;
- Отсутствие непрерывного мониторинга и анализа аномалий на уровне SaaS API и облачных приложений;
- Недостаточный контроль за жизненным циклом токенов и слабая сегментация привилегий в облачных средах.
Хронология ключевых событий
- 8 августа — начало кампании использования скомпрометированных токенов из Drift AI chat;
- 8–18 августа — активная фаза масштабного доступа и поиска дополнительных credential с помощью TruffleHog;
- 20 августа — отзыв части скомпрометированных OAuth-токенов в качестве меры сдерживания;
- Начало сентября — создание по крайней мере одной новой учетной записи пользователя, свидетельствующее о попытках закрепления доступа.
Последствия и значение для индустрии
Инцидент подчёркивает следующую тенденцию: атаки через SaaS и supply chain все чаще реализуются с помощью легитимных учетных данных и API-вызовов, а не с помощью явного вредоносного ПО. Это меняет приоритеты в защите корпоративной инфраструктуры и требует пересмотра подходов к управлению интеграциями и токенами.
Рекомендации для компаний
На основании хода расследования и выявленных тактик целесообразно внедрить следующие меры:
- Внедрить модель наименьших привилегий для всех SaaS-интеграций и регулярно пересматривать OAuth-разрешения;
- Установить непрерывный мониторинг API-трафика и поведенческую аналитику для обнаружения аномальных запросов к чувствительным объектам (Cases, Accounts, Users, Opportunities);
- Внедрить процессы быстрой ротации и отзыва токенов и ключей, а также аудит их использования;
- Контролировать и ограничивать возможности сторонних интеграций: периодические оценки и проверка доверия к поставщикам;
- Настроить обнаружение создания новых учетных записей, необычных привилегий и массовых экспортов данных;
- Использовать инструменты для обнаружения утечек credential в репозиториях и конфигурациях (например, TruffleHog или аналоги) и автоматизировать оповещения при находках;
- План реагирования на инциденты должен включать сценарии compromise of OAuth tokens и механизмы быстрой изоляции интеграции.
Вывод
Атака, приписываемая UNC6395, — наглядное подтверждение того, что современные злоумышленники предпочитают эксплуатацию доверия между сервисами и учетными данными вместо явного внедрения malware. Компании должны адаптировать защиту: переходить к строгому управлению разрешениями, активному мониторингу SaaS и облачных операций и оперативной ротации токенов и ключей, чтобы предотвратить аналогичные инциденты в будущем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "UNC6395: атака на supply chain Salesloft с токенами OAuth".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.