314/68 (IT) ประจำวันศุกร์ที่ 29 สิงหาคม 2568
นักวิจัยจาก Google Threat Intelligence Group (GTIG) และ Mandiant เปิดเผยแคมเปญการโจมตีขนาดใหญ่ที่มีเป้าหมายเจาะเข้าไปยังแพลตฟอร์ม Sales Automation Salesloft เพื่อขโมย OAuth และ Refresh Token ที่เชื่อมต่อกับ Drift AI Chat Agent โดยพบว่ากลุ่มผู้โจมตีที่ชื่อว่า UNC6395 ได้ใช้ช่องทางนี้ในการดึงข้อมูลจากระบบ Salesforce ของหลายองค์กรในช่วงวันที่ 8–18 สิงหาคม 2025 โดยมีเป้าหมายเพื่อขโมยข้อมูลสำคัญ เช่น AWS Access Keys (AKIA) และ Snowflake Tokens
รายงานระบุว่าผู้โจมตีใช้ OAuth Token ที่ถูกขโมยไปในการดึงข้อมูลปริมาณมากจาก Salesforce Objects อย่าง Cases, Accounts, Users และ Opportunities โดยมีการลบ Query Jobs เพื่อลดโอกาสถูกตรวจจับ ทำให้ข้อมูลของหลายองค์กรทั่วโลกเสี่ยงต่อการรั่วไหล ขณะเดียวกัน Google แนะนำให้องค์กรที่ใช้ Drift เชื่อมต่อกับ Salesforce ถือว่าข้อมูลทั้งหมดใน Salesforce ถูก Compromise และควรดำเนินการแก้ไขทันที เช่น ตรวจสอบ Log, ยกเลิก API Keys, เปลี่ยน Credential และตรวจสอบว่ามีการนำ Secret ไปใช้โดยผู้โจมตีหรือไม่
Salesloft ยืนยันว่าการโจมตีครั้งนี้ส่งผลกระทบเฉพาะลูกค้าที่ใช้งาน Drift-Salesforce Integration เท่านั้น โดยเมื่อวันที่ 20 สิงหาคม 2025 บริษัทได้เพิกถอนการเชื่อมต่อทั้งหมดและแจ้งเตือนลูกค้าที่ได้รับผลกระทบ ขณะเดียวกัน Salesforce ได้ถอด Drift ออกจาก AppExchange และดำเนินการเพิกถอน Token ที่ถูก Compromise แล้ว อย่างไรก็ตาม GTIG เตือนว่า UNC6395 เป็นกลุ่มผู้โจมตีที่มีความเชี่ยวชาญสูงด้าน SAP และ Salesforce องค์กรที่เกี่ยวข้องจึงควรดำเนินมาตรการเชิงรุกเพื่อจำกัดความเสียหายและลดความเสี่ยงจากการโจมตี
