Salesloft数据泄露
大规模网络攻击导致 Salesloft 与 Drift AI 聊天代理的集成受损,黑客得以窃取 OAuth 并刷新令牌。追踪编号为 UNC6395 的威胁行为者利用这些被盗令牌入侵了 Salesforce 客户环境。安全专家已确认超过 700 家组织可能受到影响。
目录
违规事件时间表
调查显示,该恶意活动持续了 2025 年 8 月 8 日至 8 月 18 日。在此期间,攻击者利用与 Drift 绑定的被盗 OAuth 令牌入侵 Salesforce 实例。入侵后,他们导出了大量公司数据,旨在收集以下敏感凭证:
- Amazon Web Services (AWS) 访问密钥
- 密码
- 与雪花相关的代币
攻击方法和技巧
此次攻击活动的突出之处在于 UNC6395 的严谨和精准。他们并非进行一次性入侵,而是针对数百名 Salesforce 租户发起了结构化、重复性的攻击。关键观察结果包括:
严格执行——系统地运行查询以识别和提取凭证。
操作意识——攻击者删除查询作业以隐藏其活动的痕迹。
目标选择——许多遭到入侵的组织都是技术和安全提供商,这表明这可能是一次供应链渗透尝试。
通过攻击供应商和服务提供商,该组织将攻击范围扩大到下游客户和合作伙伴生态系统。
Salesloft 和 Salesforce 的回应
Salesloft 于 2025 年 8 月 20 日发布公告,承认存在数据泄露事件,并确认已撤销所有 Drift 与 Salesforce 的连接。Salesforce 随后也发表了声明,指出只有“少数客户”受到直接影响。两家公司均已在事件发生后立即采取了措施:
- 无效的活动访问和刷新令牌
- 从 AppExchange 中删除 Drift
- 合作遏制袭击并评估影响
Salesloft 强调,该事件不会影响未集成 Salesforce 的组织。
更广泛的威胁形势
Salesforce 环境日益成为受经济利益驱动的犯罪团伙的牟利目标。其他集群,例如 UNC6040 和 UNC6240 (ShinyHunters),则以利用 SaaS 环境而闻名,其中 UNC6240 甚至与 Scattered Spider (UNC3944) 合作开展初始访问活动。
目前尚无证据表明 UNC6395 与这些组织存在关联,因此它成为一个全新且独特的威胁集群。然而,其攻击活动的规模、重点和复杂程度使其与高风险对手并列。
缓解措施和后续步骤
Salesloft 已聘请第三方安全供应商来支持调查和补救工作。该公司敦促管理员重新验证 Salesforce 连接以恢复集成,并采取额外的安全预防措施。
主要建议包括:
- 撤销和轮换现有的 API 密钥
- 使用新密钥重新连接 Drift 集成
- 审查日志中是否存在可疑查询和潜在的数据泄露
- 进行更深入的调查以确定影响
对于通过 API 密钥管理 Drift 连接的组织,强烈建议主动进行密钥轮换。不过,Salesloft 已经直接解决了 OAuth 集成问题。
最后的结论
此次活动凸显了 SaaS 生态系统中第三方集成日益增长的风险。通过滥用窃取的 OAuth 令牌,UNC6395 展示了其开展有针对性、隐秘性且以供应链为导向的攻击的能力。此次事件提醒我们,尽管云平台功能强大,但对于试图利用数字供应链中信任关系的威胁行为者来说,它仍然是首要目标。
