เตือนภัย แฮกเกอร์มุ่งเจาะ Salesforce ผ่านช่องทาง Salesloft Drift แนะองค์กรเร่งตรวจสอบการเชื่อมต่อ OAuth

จากที่เราเคยนำเสนอการโจมตีเพื่อขโมยข้อมูลระบบ Saleforce โดยพุ่งเป้าไปยังแพลตฟอร์มการตลาดและการสื่อสารกับลูกค้า Salesloft และ Drift ล่าสุด สำนักงานสอบสวนกลางสหรัฐอเมริกา (FBI) ได้ออกคำเตือนฉบับ “FLASH Alert” เมื่อเดือนกันยายน 2025 เพื่อแจ้งถึงแคมเปญโจมตีที่มุ่งเป้าไปยังระบบ Salesforce ผ่านแอปพลิเคชันของบุคคลที่สาม โดยเฉพาะ Salesloft และ Drift ซึ่งถูกใช้เป็นช่องทางเข้าถึงข้อมูลขององค์กรต่าง ๆ โดยไม่ต้องเจาะระบบ Salesforce โดยตรง

การโจมตีครั้งนี้เชื่อมโยงกับสองกลุ่มแฮกเกอร์ชื่อ UNC6040 และ UNC6395 ที่มีชื่อเสียงในด้านการใช้เทคนิค social engineering และการเจาะระบบด้วยข้อมูลการเข้าถึงที่ถูกขโมย

รูปแบบการโจมตีและเทคนิคของแฮกเกอร์
กลุ่ม UNC6040 ใช้เทคนิค vishing หรือการโทรศัพท์หลอกลวงเพื่อหลอกพนักงานฝ่ายซัพพอร์ตหรือคอลเซ็นเตอร์ให้มอบข้อมูลการเข้าสู่ระบบและรหัสยืนยันหลายชั้น (MFA) จากนั้นจึงใช้แอปพลิเคชันที่มีสิทธิ์เชื่อมต่อกับ Salesforce เช่น Salesforce Data Loader หรือแอปที่ดูถูกต้องตามกฎหมาย เพื่อดึงข้อมูลจำนวนมหาศาลออกมาผ่าน API

ขณะที่กลุ่ม UNC6395 ใช้วิธีขโมยโทเค็น OAuth และ refresh token จากแอป Salesloft Drift ที่ถูกบุกรุกก่อนหน้านี้ และนำโทเค็นเหล่านี้ไปเข้าถึง Salesforce instance ของลูกค้าอย่างกว้างขวาง เหตุการณ์นี้เกิดขึ้นในช่วงวันที่ 8 ถึง 18 สิงหาคม 2025 และทำให้ข้อมูลที่ละเอียดอ่อน เช่น คีย์ AWS โทเค็น Snowflake และรหัสผ่านต่าง ๆ ถูกดึงออกไปได้อย่างง่ายดาย

ผลกระทบต่อองค์กรและผู้ให้บริการ
แม้ Salesforce เองจะไม่ได้ถูกเจาะระบบโดยตรง แต่การโจมตีผ่านการเชื่อมต่อจากแอปพลิเคชันภายนอกได้เผยให้เห็นความเสี่ยงของการพึ่งพาแอปบุคคลที่สามในสภาพแวดล้อม SaaS องค์กรเทคโนโลยีระดับโลกหลายแห่ง เช่น Google, Zscaler, Cloudflare และ Palo Alto Networks ได้รับผลกระทบ

และมีการยืนยันแล้วว่าโค้ดของ Salesloft Drift ถูกเข้าถึงในช่วงหลายเดือนก่อนหน้า ทำให้ข้อมูลรับรองและโทเค็นที่เกี่ยวข้องกับลูกค้ารั่วไหลออกไป การรั่วไหลนี้ไม่เพียงส่งผลต่อข้อมูลลูกค้าทั่วไป แต่รวมถึงข้อมูลที่สามารถนำไปขยายผลโจมตีสู่ระบบอื่นได้ เช่น คีย์บริการคลาวด์และรหัสผ่านแอปพลิเคชันเชื่อมต่อ

มาตรการแก้ไขและการตอบสนอง
Salesloft และ Salesforce ได้เพิกถอนสิทธิ์ของโทเค็นทั้งหมดที่เกี่ยวข้องกับ Drift เพื่อลดความเสียหาย ขณะเดียวกันมีการร่วมมือกับบริษัทด้านความปลอดภัย เช่น Mandiant และ Google Threat Intelligence ในการตรวจสอบเชิงลึกถึงขอบเขตของเหตุการณ์และหาต้นตอการโจมตี

FBI ได้แนะนำให้องค์กรทุกแห่งตรวจสอบการเชื่อมต่อของแอปบุคคลที่สามทั้งหมด หมุนเวียนข้อมูลรับรองที่อาจได้รับผลกระทบ และเพิ่มมาตรการความปลอดภัย เช่น การใช้การยืนยันตัวตนหลายชั้น (MFA) และการจำกัดสิทธิ์ของแอปภายนอกให้น้อยที่สุดตามหลักการ least privilege

ที่มา

ที่มา