Google รายงานว่าการโจมตีระบบ Salesloft Drift นั้นมีขอบเขตกว้างกว่าที่คาดการณ์ไว้ในตอนแรก และได้แจ้งเตือนว่าผู้โจมตีได้ใช้ OAuth tokens ที่ถูกขโมยมา เพื่อทำการเข้าถึงบัญชีอีเมล Google Workspace บางส่วน นอกเหนือจากการขโมยข้อมูลจาก Salesforce ไปแล้ว
Google ระบุว่า "จากข้อมูลใหม่ที่ระบุโดย GTIG (Google Threat Intelligence Group) ขอบเขตของการโจมตีครั้งนี้ไม่ได้จำกัดอยู่แค่การเชื่อมต่อระหว่าง Salesforce กับ Salesloft Drift เท่านั้น แต่ยังส่งผลกระทบต่อการเชื่อมต่อกับแอปพลิเคชันอื่น ๆ ด้วย"
“เราขอแนะนำให้ลูกค้าของ Salesloft Drift ทุกคน ให้ถือว่า authentication tokens ทั้งหมดที่ถูกจัดเก็บไว้ หรือเชื่อมต่อกับแพลตฟอร์ม Drift อาจถูกขโมยข้อมูลไปแล้ว"
แคมเปญการโจมตีดังกล่าว ถูกติดตามโดย Google Threat Intelligence (Mandiant) ภายใต้ชื่อ UNC6395 และถูกเปิดเผยครั้งแรกเมื่อวันที่ 26 สิงหาคม 2025 หลังจากผู้โจมตีได้ขโมย OAuth tokens สำหรับการเชื่อมต่อ Drift AI chat บนแพลตฟอร์ม Salesloft กับ Salesforce ไปแล้ว ผู้โจมตีได้ใช้ tokens เหล่านี้เพื่อเข้าถึงระบบ Salesforce ของลูกค้า ซึ่งพวกเขาได้ทำการ query เพื่อดึงข้อมูลจาก tables ต่าง ๆ ใน Salesforce เช่น Cases, Accounts, Users และ Opportunities
ข้อมูลดังกล่าวทำให้ผู้โจมตีสามารถสแกน tickets support ของลูกค้า และข้อความต่าง ๆ เพื่อค้นหาข้อมูลสำคัญ เช่น AWS access keys, Snowflake tokens และ passwords ที่สามารถนำไปใช้เพื่อโจมตีบัญชีคลาวด์อื่น ๆ ต่อไปได้ โดยมีแนวโน้มว่าจะนำไปใช้ในการแบล็กเมล์ในอนาคตอีกด้วย
ในรายงานการอัปเดตที่เผยแพร่ในวันที่ 31 สิงหาคม 2025 ทาง Google ได้ยืนยันว่าการถูกโจมตีระบบครั้งนี้ มีความรุนแรงกว่าที่คาดการณ์ไว้ในตอนแรก และไม่ได้จำกัดอยู่แค่การเชื่อมต่อกับ Salesforce เท่านั้น
จากการตรวจสอบพบว่า OAuth tokens สำหรับการเชื่อมต่อ "Drift Email" ก็ถูกขโมยไปด้วยเช่นกัน และเมื่อวันที่ 9 สิงหาคมที่ผ่านมา ผู้โจมตีได้ใช้ tokens เหล่านี้ในการเข้าถึงอีเมลของบัญชี Google Workspace ในจำนวนที่น้อยมาก ซึ่งเป็นบัญชีที่เชื่อมต่อโดยตรงกับ Drift
Google ได้เน้นย้ำว่าบัญชีอื่น ๆ ในโดเมนเหล่านั้นไม่ได้รับผลกระทบ และไม่มีการโจมตีใด ๆ เกิดขึ้นกับระบบของ Google Workspace หรือ Alphabet โดยตรง
Token ที่ถูกขโมยไปนั้นถูกเพิกถอนเรียบร้อยแล้ว และได้มีการแจ้งเตือนไปยังลูกค้าที่ได้รับผลกระทบแล้ว นอกจากนี้ Google ยังได้ปิดการใช้งานการเชื่อมต่อระหว่าง Salesloft Drift Email กับ Google Workspace ชั่วคราวในระหว่างที่กำลังตรวจสอบเหตุการณ์ครั้งนี้
ขณะนี้ Google กำลังเรียกร้องให้องค์กรทั้งหมดที่ใช้งาน Drift ให้ถือว่า authentication token ทั้งหมดที่เก็บไว้ หรือเชื่อมต่อกับแพลตฟอร์มนั้น ถูกขโมยข้อมูลไปแล้ว โดยการแจ้งเตือนดังกล่าวแนะนำให้ลูกค้าทำการเพิกถอน และเปลี่ยนข้อมูล credentials สำหรับแอปพลิเคชันเหล่านั้นใหม่ทั้งหมด และตรวจสอบทุกระบบที่มีการเชื่อมต่ออยู่ทั้งหมดเพื่อหาช่องทางการเข้าถึงที่ไม่ได้รับอนุญาต
นอกจากนี้ Google ยังแนะนำให้ทำการตรวจสอบการเชื่อมต่อกับแอปพลิเคชัน third-party ทั้งหมดที่เกี่ยวข้องกับ Drift, ค้นหาข้อมูล secrets ที่อาจรั่วไหล และทำการรีเซ็ตข้อมูล credentials ทั้งหมดหากพบว่าอาจถูกโจมตีไปแล้ว
ทางด้าน Salesloft ก็ได้อัปเดตคำแนะนำของตนเองเมื่อวันที่ 28 สิงหาคมที่ผ่านมา โดยระบุว่า Salesforce ได้ปิดการเชื่อมต่อของ Drift กับ Salesforce, Slack และ Pardot จนกว่าการตรวจสอบจะเสร็จสิ้น
ล่าสุด Salesloft ได้ว่าจ้างให้บริษัท Mandiant และ Coalition เข้ามาช่วยในการตรวจสอบเหตุการณ์ในครั้งนี้แล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.