Google warnt: Anmeldetoken von Salesloft Drift für Datendiebstahl missbraucht

Googles Threat Intelligence Group (GTIG) warnt vor einer groß angelegten Kampagne zu Datendiebstahl der kriminellen Gruppe UNC6395. Zunächst schienen die Angriffe mit Salesloft Drift verbundene Salesforce-Instanzen zu betreffen. Neue Analysen zeigen jedoch, dass auch andere mit Salesloft Drift verbundene Systeme gefährdet sind. Alle mit der Drift-Plattform verbundene Authentifizierungstoken müssen als kompromittiert betrachtet werden.

Das schreibt Google in einer aktualisierten Analyse. Zunächst wurde bekannt, dass zwischen dem 8. und mindestens 18. August 2025 die Mitglieder der nicht näher bekannten Gruppe UNC6395 „systematisch große Datenmengen aus Salesforce-Instanzen“ von Unternehmen kopiert haben. Dazu haben sie sich mit kompromittierten OAuth-Token Zugriff verschafft, die aus der KI-Plattform Salesloft Drift stammen. Die Google-IT-Forscher gehen davon aus, dass das Ziel der Angreifer ist, weitere Zugangsdaten zu erlangen.

Die IT-Sicherheitsforscher haben beobachtet, wie die Angreifer nach der Datenausleitung diese nach Informationen durchsucht haben, die sich zur Kompromittierung der Umgebungen der Opfer nutzen lassen. Dazu gehören etwa Anmeldeinformationen zu den Amazon Web Services (AWS), im Speziellen die Zugriffsschlüssel (AKIA, für Langzeit-Zugriffe), Passwörter oder Zugriffstoken mit Snowflake-Bezug. Die Angreifer versuchten, durch Löschen der Anfragen ihr Spuren zu verwischen, allerdings haben sie die Logdateien nicht angefasst – Organisationen können die Protokolle noch nach relevanten Spuren für Datenabfluss durchsuchen.

Salesloft verwirft Zugriffstoken, Problem ist weitreichender

Zunächst hatte Salesloft zusammen mit Salesforce die Zugriffstoken zurückgezogen. Zusätzlich hat das Unternehmen die Drift-App vorerst aus dem Salesforce AppExchange entfernt. Betroffene Organisationen seien von Google, Salesforce und Salesloft benachrichtigt worden. Allerdings ist das Problem weitreichender, wie Googles Threat Intelligence Group nun ergänzt. Nicht nur die Zugangstoken der Salesforce-Integration wurden kompromittiert, sondern potenziell alle Authentifizierungstoken, die von der Salesloft-Drift-Plattform gespeichert oder damit verbunden sind.

Ende vergangener Woche fanden die GTIG-Forscher heraus, dass auch OAuth-Token aus der „Drift Email“-Integration von der kriminellen Gruppierung missbraucht wurden, um Zugriff auf E-Mails in Google-Workspace-Zugängen zu erlangen. Zugriff war damit auf Workspace-Konten möglich, die die Salesloft-Drift-Integration genutzt haben, andere Konten hingegen nicht. Google hat daher die OAuth-Token verworfen, die der Drift-Email-App Zugriff gewähren. Zudem hat das Unternehmen die Integration von Salesloft Drift in Google Workspace deaktiviert, bis die Untersuchungen abgeschlossen sind. Alle Admins von betroffenen Google Workspaces wollen die IT-Sicherheitsforscher benachrichtigen.

Google empfiehlt IT-Verantwortlichen, umgehend alle Drittanbieter-Integrationen, die mit ihrer Salesloft-Drift-Instanz verbunden sind, zu überprüfen und die Zugangsdaten zu verwerfen und neue anzulegen. Sie sollten die verbundenen Systeme auf Anzeichen unberechtigter Zugriffe prüfen. Die Analyse enthält Anzeichen für Angriffe (Indicators of Compromise, IOCs), die Admins für die Prüfung heranziehen sollten.

Insbesondere die Kundenservice-Plattform Salesforce stößt derzeit auf starkes Interesse von Cyberkriminellen. Anfang Juni hatte Google bereits Angriffe auf Salesforce-Zugänge beobachtet. Dort haben die Angreifer jedoch mit Telefonanrufen ihre Opfer überzeugt (Vishing), bösartige „Connected“-Apps in Salesforce zu installieren, mit denen die Täter dann Daten im größeren Stil abgreifen und die Unternehmen damit erpressen konnten.

(dmk)