Na een eerdere reeks van slachtoffers blijkt ook Zscaler getroffen door een gehackte Salesloft Drift-instance. Hierdoor werd klantendata buitgemaakt en informatie over support cases.
Zscaler waarschuwt dat hackers gevoelige klantdata hebben gestolen nadat ze toegang kregen tot hun Salesforce-omgeving. De buitgemaakte gegevens omvatten namen, e-mailadressen, functies, telefoonnummers en locatiedata van klanten. Daarnaast zijn ook productlicenties, commerciële informatie en inhoud van bepaalde supportzaken gecompromitteerd. Het bedrijf benadrukt dat alleen de Salesforce-omgeving is geraakt, niet de Zscaler-producten zelf of interne infrastructuur.
Supply-chain aanval treft security-expert
De aanvallers gebruikten de eerder gehackte Salesloft Drift als springplank. Deze integratie van een AI-chatbot met Salesforce maakte het mogelijk om OAuth- en refresh tokens te stelen, waarmee criminelen zich toegang verschaften tot de bedrijfsgegevens. “Ongeautoriseerde partijen kregen toegang tot Salesloft Drift-credentials van klanten, waaronder Zscaler,” meldt het bedrijf in een veiligheidsadvies. Na grondige analyse bleek dat deze toegangsrechten beperkte inzage gaven in Salesforce-informatie.
Google identificeert daders
Google Threat Intelligence identificeerde de aanvallers als UNC6395. Deze groep had het voorzien op AWS-toegangssleutels, wachtwoorden en Snowflake-tokens die klanten deelden in supportverzoeken. Hoewel de hackers query-taken verwijderden om sporen uit te wissen, bleven logbestanden bewaard waarmee de aanval kon worden gereconstrueerd.
Later onderzoek toonde aan dat naast Drift ook Salesloft’s Email-dienst is gecompromitteerd. Deze tool beheert e-mailantwoorden en organiseert CRM- en marketingdatabases. Google en Salesforce hebben hun Drift-integraties tijdelijk uitgeschakeld pending onderzoek.
Onderdeel van grotere campagne
De Zscaler-hack komt kort na een reeks Salesforce-gerichte aanvallen die deze zomer tientallen organisaties troffen. Google, Cisco, Air France-KLM, Adidas en LVMH-merken Louis Vuitton, Dior en Tiffany werden eerder slachtoffer van vergelijkbare social engineering-tactieken.
De criminelen gebruiken voice phishing om medewerkers te misleiden tot het koppelen van malafide OAuth-apps aan Salesforce-omgevingen. Eenmaal binnen downloaden ze databases om bedrijven af te persen.
Beveiligingsmaatregelen verscherpt
Zscaler heeft alle Salesloft Drift-integraties ingetrokken en API-tokens gereset. Het bedrijf verscherpte tevens klantverificatie bij supportgesprekken om social engineering tegen te gaan. Hoewel geen misbruik is gedetecteerd, waarschuwt Zscaler klanten om alert te blijven op phishing en social engineering-aanvallen.
Sommige onderzoekers vermoeden tegenover BleepingComputer een overlap tussen deze supply-chain aanval en de recente Salesforce-diefstalcampagne van extortiegroep ShinyHunters. Die voert sinds begin dit jaar social engineering-aanvallen uit om Salesforce-toegang te verkrijgen en bedrijven af te persen.