Campagne de vol de données ciblant des instances Salesforce via Salesloft Drift (UNC6395)

Source: Google Cloud Blog (Mandiant/GTIG), 26 août 2025. Contexte: avis de sécurité sur une campagne de vol de données visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactées.

Les analystes décrivent une campagne de vol et exfiltration de données menée par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 août 2025, l’attaquant a utilisé des tokens OAuth Drift compromis pour accéder à de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de données. L’objectif principal évalué est la récolte d’identifiants et de secrets (notamment clés d’accès AWS AKIA, mots de passe et tokens liés à Snowflake). L’acteur a montré une certaine hygiène opérationnelle en supprimant des “query jobs”, sans affecter les journaux consultables.

Côté impact et remédiation éditeurs: Salesloft indique que les clients n’intégrant pas Salesforce ne sont pas concernés. Le 20 août 2025, Salesloft et Salesforce ont révoqué tous les tokens actifs liés à Drift, et Salesforce a retiré l’application Drift de l’AppExchange en attendant enquête. Selon le billet, le problème ne provient pas d’une vulnérabilité du cœur de Salesforce. GTIG précise ne pas avoir d’élément indiquant un impact direct sur des clients Google Cloud. Les entités concernées ont été notifiées.

TTPs observés (exemples) :

Abus de tokens OAuth d’une Connected App (Drift) pour interroger des objets Salesforce (Cases, Accounts, Users, Opportunities).
Exécution de requêtes SOQL pour compter et extraire des enregistrements, puis analyse des données pour détecter des secrets exploitables.
Suppression de jobs de requêtes pour limiter les traces, sans effacer les logs.
Utilisation d’IPs Tor et d’outils/clients identifiables par des User-Agent spécifiques. Exemples de requêtes SOQL observées:
SELECT COUNT() FROM Account; / Opportunity; / User; / Case;
SELECT Id, Username, Email, FirstName, LastName, Name, Title, CompanyName, … FROM User WHERE IsActive = true ORDER BY LastLoginDate DESC NULLS LAST LIMIT 20
SELECT Id, IsDeleted, MasterRecordId, CaseNumber … FROM Case LIMIT 10000

Recommandations principales du billet:

Investiguer et rechercher des secrets exposés: revue des logs Salesforce (Event Monitoring, Drift Connected App, UniqueQuery), recherche d’UA/IP des IOCs, scan de secrets (ex: Trufflehog) dans les objets Salesforce pour chaînes telles que AKIA, Snowflake/snowflakecomputing.com, password/secret/key, URLs d’accès internes (VPN/SSO).
Rotation des secrets: révoquer et faire tourner clés et tokens découverts; réinitialiser les mots de passe; régler des timeouts de session.
Durcissement des accès: restreindre les scopes des Connected Apps, enforcer des restrictions IP (IP Relaxation), définir des plages IP par profil, supprimer le droit “API Enabled” des profils et l’accorder via Permission Set si nécessaire.

Indicateurs de compromission (IOCs) observés:

User-Agent: Salesforce-Multi-Org-Fetcher/1.0; Salesforce-CLI/1.0; python-requests/2.32.4; Python/3.11 aiohttp/3.12.15
IPs: 208.68.36.90 (DigitalOcean); 44.215.108.109 (Amazon Web Services); 154.41.95.2; 176.65.149.100; 179.43.159.198; 185.130.47.58; 185.207.107.130; 185.220.101.133; 185.220.101.143; 185.220.101.164; 185.220.101.167; 185.220.101.169; 185.220.101.180; 185.220.101.185; 185.220.101.33; 192.42.116.179; 192.42.116.20; 194.15.36.117; 195.47.238.178; 195.47.238.83

Type d’article: analyse de menace / alerte de sécurité visant à informer sur la campagne, ses TTPs, l’impact, les IOCs et les mesures immédiates à prendre.

🧠 TTPs et IOCs détectés

TTP

[‘Abus de tokens OAuth d’une Connected App pour interroger des objets Salesforce’, ‘Exécution de requêtes SOQL pour extraire des enregistrements et détecter des secrets’, ‘Suppression de jobs de requêtes pour limiter les traces’, ‘Utilisation d’IPs Tor et d’outils/clients identifiables par des User-Agent spécifiques’]

IOC

{‘user_agent’: [‘Salesforce-Multi-Org-Fetcher/1.0’, ‘Salesforce-CLI/1.0’, ‘python-requests/2.32.4’, ‘Python/3.11 aiohttp/3.12.15’], ‘ip’: [‘208.68.36.90’, ‘44.215.108.109’, ‘154.41.95.2’, ‘176.65.149.100’, ‘179.43.159.198’, ‘185.130.47.58’, ‘185.207.107.130’, ‘185.220.101.133’, ‘185.220.101.143’, ‘185.220.101.164’, ‘185.220.101.167’, ‘185.220.101.169’, ‘185.220.101.180’, ‘185.220.101.185’, ‘185.220.101.33’, ‘192.42.116.179’, ‘192.42.116.20’, ‘194.15.36.117’, ‘195.47.238.178’, ‘195.47.238.83’]}

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift/?hl=en

🧠 TTPs et IOCs détectés#

TTP#

IOC#

🧠 TTPs et IOCs détectés

TTP

IOC