گروه ShinyHunters مدعی نفوذ به Drift و سرقت ۱.۵ میلیارد داده Salesforce شد

گروه هکری ShinyHunters ادعا کرده است که بیش از ۱.۵ میلیارد رکورد Salesforce را از ۷۶۰ شرکت با استفاده از Salesloft Drift OAuth tokens به سرقت برده است.

به گفته محققان، این عاملان تهدید طی یک سال گذشته مشتریان Salesforce را در حملات سرقت داده هدف قرار داده‌اند و با استفاده از مهندسی اجتماعی و برنامه‌های مخرب OAuth به نمونه‌های Salesforce نفوذ کرده و داده‌ها را دانلود کرده‌اند. داده‌های سرقت‌شده سپس برای اخاذی از شرکت‌ها به منظور جلوگیری از افشای عمومی مورد استفاده قرار می‌گیرد.

این حملات توسط افرادی انجام شده که خود را اعضای گروه‌های اخاذی ShinyHunters، Scattered Spider و Lapsus$ معرفی کرده‌اند و اکنون با نام “Scattered Lapsus$ Hunters” فعالیت می‌کنند. گوگل این فعالیت‌ها را با شناسه‌های UNC6040 و UNC6395 ردیابی می‌کند.

در ماه March، یکی از عاملان تهدید به GitHub repository شرکت Salesloft نفوذ کرد که حاوی private source code این شرکت بود.
گروه ShinyHunters به وب‌سایت BleepingComputer گفت که مهاجمان از ابزار امنیتی TruffleHog برای اسکن کد منبع به‌منظور یافتن اسرار استفاده کردند و موفق به کشف OAuth tokens برای پلتفرم‌های Salesloft Drift و Drift Email شدند.

Salesloft Drift یک پلتفرم شخص ثالث است که Drift AI chat agent را به نمونه‌های Salesforce متصل می‌کند و امکان همگام‌سازی مکالمات، سرنخ‌ها و پرونده‌های پشتیبانی را در سیستم CRM فراهم می‌سازد. Drift Email نیز برای مدیریت پاسخ‌های ایمیلی و سازمان‌دهی پایگاه‌های داده CRM و marketing automation استفاده می‌شود.

با بهره‌گیری از این Drift OAuth tokens سرقت‌شده، گروه ShinyHunters اعلام کرد که مهاجمان حدود ۱.۵ میلیارد رکورد داده از ۷۶۰ شرکت را از جداول Account، Contact، Case، Opportunity و User در Salesforce سرقت کرده‌اند.
از این تعداد، حدود ۲۵۰ میلیون رکورد از Account، حدود ۵۷۹ میلیون از Contact، حدود ۱۷۱ میلیون از Opportunity، حدود ۶۰ میلیون از User و حدود ۴۵۹ میلیون رکورد از جدول Case بوده است.

جدول Case حاوی اطلاعات و متن درخواست‌های پشتیبانی ارسال‌شده توسط مشتریان این شرکت‌ها است که برای شرکت‌های فناوری می‌تواند شامل داده‌های حساس باشد.

به عنوان مدرکی از نقش خود در این حمله، عامل تهدید یک فایل متنی حاوی فهرست پوشه‌های کد منبع موجود در GitHub repository نفوذشده را به اشتراک گذاشت.

وب‌سایت BleepingComputer برای دریافت جزئیات بیشتر از جمله تعداد دقیق شرکت‌های آسیب‌دیده با Salesloft تماس گرفت اما پاسخی دریافت نکرد؛ با این حال یک منبع مستقل صحت این اعداد را تأیید کرد.

Google Threat Intelligence (Mandiant) گزارش داد که داده‌های سرقتی از جدول Case برای یافتن اسرار مخفی نظیر credentials، authentication tokens و access keys بررسی شده تا مهاجمان بتوانند به محیط‌های دیگر برای حملات بعدی نفوذ کنند.
گوگل توضیح داد: «پس از استخراج داده‌ها، عامل تهدید آن‌ها را برای یافتن اسراری که می‌توانند برای به خطر انداختن محیط قربانی استفاده شوند، جست‌وجو کرد.»
این تیم مشاهده کرد که UNC6395 به دنبال اطلاعات حساسی همچون AWS access keys (AKIA)، گذرواژه‌ها و Snowflake-related access tokens بوده است.

این Drift و Drift Email tokens سرقتی در کارزارهای گسترده سرقت داده علیه شرکت‌های بزرگی مانند Google، Cloudflare، Zscaler، Tenable، CyberArk، Elastic، BeyondTrust، Proofpoint، JFrog، Nutanix، Qualys، Rubrik، Cato Networks، Palo Alto Networks و بسیاری دیگر مورد استفاده قرار گرفته‌اند.

به دلیل حجم گسترده این حملات، FBI اخیراً یک هشدار رسمی منتشر کرده و درباره عاملان تهدید UNC6040 و UNC6395 و شاخص‌های نفوذ (IOCs) شناسایی‌شده هشدار داده است.

پنج‌شنبه گذشته، عاملان تهدید که خود را بخشی از Scattered Spider معرفی می‌کنند اعلام کردند که قصد دارند فعالیت رسانه‌ای خود را متوقف کرده و از گفت‌وگو درباره عملیات در Telegram دست بکشند.

در آخرین پست خود، این مهاجمان ادعا کردند که به سیستم Google Law Enforcement Request (LERS) – که برای ارسال درخواست‌های قانونی به گوگل توسط نهادهای مجری قانون استفاده می‌شود – و پلتفرم FBI eCheck – مورد استفاده برای بررسی سوابق – نفوذ کرده‌اند.

گوگل در پاسخ به این ادعاها تأیید کرد که یک حساب جعلی به سیستم LERS اضافه شده است اما هیچ داده‌ای دسترسی یا درخواست نشده است:
«ما شناسایی کردیم که یک حساب جعلی در سیستم درخواست‌های قانونی ما ایجاد شده بود و این حساب غیرفعال شد. هیچ درخواستی از طریق این حساب انجام نشده و هیچ داده‌ای دسترسی پیدا نکرده است.»

با وجود اعلام بازنشستگی این مهاجمان، محققان ReliaQuest گزارش داده‌اند که این گروه از July 2025 شروع به هدف قرار دادن مؤسسات مالی کرده و احتمال ادامه حملات آن‌ها بالاست.

برای محافظت در برابر این نوع حملات سرقت داده، Salesforce به مشتریان خود توصیه کرده است که بهترین شیوه‌های امنیتی از جمله فعال‌سازی Multi-Factor Authentication (MFA)، اجرای اصل حداقل دسترسی و مدیریت دقیق برنامه‌های متصل را رعایت کنند.