Briefing sécurité : compromission d’instances Salesforce via l’intégration Salesloft Drift

Avant-propos

Unit 42 a observé une activité correspondant à une campagne spécifique menée par des acteurs de la menace, utilisant l’intégration Salesloft Drift pour compromettre les instances Salesforce des clients. Ce briefing fournit des informations sur nos observations et des conseils aux organisations potentiellement concernées.

Comme indiqué dans une notification récente de Salesloft du 8 au 18 août 2025, un acteur malicieux a utilisé des identifiants OAuth compromis pour exfiltrer des données des environnements Salesforce des clients concernés.

Nos observations révèlent que l’auteur de la menace a procédé à une exfiltration massive de données sensibles issues de divers objets Salesforce, notamment les objets de type Account, Contact, Case et Opportunity. Après l’exfiltration, l’acteur semble avoir entrepris une analyse des données volées à la recherche d’identifiants, probablement dans le but de faciliter d’autres attaques ou d’élargir son accès. Nous avons constaté que l’acteur malicieux a supprimé certaines requêtes afin de dissimuler les traces des tâches exécutées, probablement dans une logique de contournement d’outils forensiques.

Salesloft a confirmé que l’ensemble des clients concernés avaient été informés et que des mesures immédiates avaient été prises pour sécuriser ses systèmes, contenir et atténuer l’incident. Celles-ci incluent la révocation proactive de tous les jetons d’accès et de rafraîchissement actifs liés à l’application Drift, imposant ainsi une nouvelle authentification pour les administrateurs concernés.

Palo Alto Networks recommande aux organisations de continuer à surveiller les mises à jour de Salesforce et de Salesloft, en plus de suivre les recommandations ci-dessous.

L’équipe de réponse à incident de Unit 42 peut également intervenir en cas de compromission ou réaliser une évaluation proactive afin de réduire votre niveau de risque.

Recommandations pour les organisations

Les organisations qui utilisent l’intégration Salesloft Drift avec Salesforce doivent traiter cet incident avec la plus grande urgence. Au-delà des mesures proactives prises par Salesloft pour sécuriser sa plateforme (comme la révocation des jetons), les recommandations suivantes sont essentielles pour évaluer l’impact potentiel et réduire tout risque supplémentaire :

Enquêtez immédiatement et examinez les journaux suivants :

• Intégrations API Drift : procédez à un examen approfondi de toutes les intégrations Drift et examinez toutes les activités d’authentification au sein des systèmes tiers pour détecter les signes de connexions suspectes, de collecte d’identifiants et d’exfiltration de données.
• Journaux Salesforce : effectuez un examen approfondi de l’historique des connexions à Salesforce, des pistes d’audit et des journaux d’accès à l’API pour la période allant du 8 août à aujourd’hui. Examinez en particulier les journaux de surveillance des événements Salesforce, si ceux-ci sont activés, afin de détecter toute activité inhabituelle liée à l’utilisateur de connexion Drift, et passer en revue l’activité d’authentification provenant de l’application connectée Drift. Recherchez les tentatives de connexion suspectes, les schémas d’accès aux données inhabituels et les indicateurs mentionnés dans la section Conseils de threat hunting, tels que la chaîne d’agent utilisateur Python/3.11 aiohttp/3.12.15 et les activités provenant d’adresses IP associées à des acteurs de la menace connus. Examinez également les événements UniqueQuery qui enregistrent les requêtes Salesforce Object Query Language (SOQL) exécutées afin d’identifier les objets Salesforce (par exemple, Account, Contact, Opportunity, Case, etc.) et les champs de ces objets que l’attaquant a interrogés. Envisagez d’ouvrir un dossier de support Salesforce pour obtenir, si nécessaire, les requêtes spécifiques utilisées par l’acteur malicieux.
• Journaux du fournisseur d’identité : examinez les journaux de votre fournisseur d’identité pour détecter toute tentative d’authentification inhabituelle ou toute connexion réussie à Salesforce ou à d’autres applications intégrées pendant la période de l’incident.
• Journaux du réseau : analysez les journaux de flux réseau et les journaux de proxy pour détecter les connexions à Salesforce à partir d’adresses IP suspectes ou de volumes de transfert de données inhabituels.

Examinez les identifiants exposés et procédez à leur rotation :

• Outils automatisés : utilisez des outils automatisés (par exemple Trufflehog ou GitLeaks) pour scanner efficacement les secrets et les identifiants codés en dur dans les référentiels de codes, les fichiers de configuration ou toute donnée susceptible d’avoir été exfiltrée.
• Examen des données : si l’exfiltration est confirmée ou suspectée, examinez les données pour détecter la présence de identifiants sensibles. Cela inclut la recherche de modèles tels que des identifiants de clés d’accès AWS (par exemple, AKIA), des identifiants Snowflake (par exemple, Snowflake ou snowflakecomputing[.]com), des mots-clés génériques comme mot de passe, secret ou clé, et les chaînes liées aux URL de connexion spécifiques à l’organisation (par exemple, les pages de connexion VPN ou SSO).
• Rotation immédiate : procédez rapidement à la rotation de tous les identifiants identifiés comme étant exposés dans les données exfiltrées. Cela inclut, sans s’y limiter, les clés API Salesforce, les identifiants des applications connectées et tout autre matériel d’authentification système trouvé dans les données compromises.

Conseils de threat hunting

Les organisations préoccupées par une compromission potentielle liée à l’incident Salesloft Drift doivent immédiatement lancer des activités proactives de chasse aux menaces dans leurs environnements Salesforce. (Pour commencer, Salesforce propose des ressources pour enquêter sur les incidents de sécurité Salesforce.) La première étape cruciale consiste à examiner minutieusement les journaux de connexion et d’activité Salesforce afin d’identifier des indicateurs de compromission (IoC) spécifiques associés à l’acteur malicieux.

Les équipes de sécurité doivent rechercher les connexions provenant d’adresses IP suspectes, y compris, mais sans s’y limiter, les adresses IP d’acteurs malicieux connus (pour plus d’informations et de conseils, voir la section « Indicateurs de compromission » du présent briefing).

La présence de la chaîne d’agent utilisateur Python/3.11 aiohttp/3.12.15 associée à ces événements de connexion est particulièrement intéressante. Bien que cette chaîne spécifique soit un agent utilisateur valide qui n’est pas intrinsèquement malveillant, elle est également révélatrice de l’exfiltration de données automatisée et en grand volume observée dans cette campagne.

La présence de cette chaîne est importante car les acteurs de la menace peuvent exploiter des bibliothèques Python asynchrones comme aiohttp, en combinaison avec l’API Bulk de Salesforce, pour réaliser une exfiltration de données rapide et à haut débit. Cette association leur permet d’extraire efficacement d’importants volumes de données à partir d’objets Salesforce comme Account, Contact, Case et Opportunity, tout en réduisant au minimum leur temps d’exposition.

Conclusion

Palo Alto Networks recommande vivement de procéder à la rotation des identifiants et de suivre les recommandations ci-dessus pour vérifier l’activité d’authentification des intégrations Drift. La vigilance et la vérification sont essentielles.

Les organisations doivent se méfier des tentatives d’ingénierie sociale résultant de cet événement ou de tout autre événement d’exfiltration de données.

Les meilleures pratiques sont les suivantes :

• Soyez sceptique à l’égard des communications non sollicitées : conseillez à vos équipes d’examiner attentivement tout e-mail, appel ou message non sollicité ou inhabituel, même s’il semble provenir d’une source fiable.
• Vérifiez les demandes : Avant d’agir, vérifiez toujours les demandes de données sensibles ou d’identifiants par le biais d’un canal de communication distinct et officiel. Par exemple, si vous recevez un e-mail suspect d’un collègue, appelez-le directement pour confirmer que la demande est légitime. N’échangez des informations et des fichiers que par l’intermédiaire de notre portail de support client, et non par e-mail.
• Mettez en œuvre l’approche Zero Trust : Appliquer une approche Zero Trust, en combinant des politiques d’accès conditionnel et le principe du moindre privilège, permet de réduire considérablement la capacité d’un attaquant à se déplacer latéralement dans votre réseau, même s’il réussit à tromper un employé.

Pour plus d’informations sur l’ingénierie sociale et les moyens de l’atténuer, veuillez consulter notre récent Rapport mondial 2025 sur la réponse à incident de Unit 42 : édition spéciale sur l’ingénierie sociale.

Palo Alto Networks et Unit 42 continueront à surveiller la situation afin d’obtenir des informations actualisées, et mettront à jour ce rapport sur les menaces dès que de nouvelles données seront disponibles.

Salesforce fournira des mises à jour et des mises à jour et des ressources aux clients.

Vous pensez que votre entreprise a été compromise ? Vous devez faire face à une urgence ? Contactez l’équipe Unit 42 de réponse à incident ou composez l’un des numéros suivants :

• Amérique du Nord : Gratuit : +1 (866) 486-4842 (866.4.UNIT42)
• Royaume-Uni : +44 20 3743 3660
• Europe et Moyen-Orient : +31.20.299.3130
• Asie : +65.6983.8730
• Japon : +81 50 1790 0200
• Australie : +61.2.4062.7950
• Inde : 00080005045107

Indicateurs de compromission

Salesloft a mis à disposition quelques indicateurs de compromission pour faciliter les activités de chasse aux menaces. Il convient de noter que de nombreuses adresses IP répertoriées dans la notification correspondent à des nœuds de sortie Tor et peuvent donc générer un taux élevé de faux positifs pour les organisations autorisant les connexions depuis Tor.