Salesloft資料外洩
大規模網路攻擊導致 Salesloft 與 Drift AI 聊天代理程式的整合受損,駭客得以竊取 OAuth 並刷新令牌。追蹤編號為 UNC6395 的威脅行為者利用這些被盜代幣入侵了 Salesforce 客戶環境。安全專家已確認超過 700 家組織可能受到影響。
目錄
違規事件時間表
調查顯示,該惡意活動持續了 2025 年 8 月 8 日至 8 月 18 日。在此期間,攻擊者利用與 Drift 綁定的被盜 OAuth 令牌入侵 Salesforce 實例。入侵後,他們導出了大量公司數據,旨在收集以下敏感憑證:
- Amazon Web Services (AWS) 存取金鑰
- 密碼
- 與雪花相關的代幣
攻擊方法和技巧
這次攻擊活動的突出之處在於 UNC6395 的嚴謹和精準。他們並非進行一次性入侵,而是針對數百名 Salesforce 租戶發動了結構化、重複性的攻擊。關鍵觀察結果包括:
嚴格執行-有系統地執行查詢以識別和提取憑證。
操作意識-攻擊者刪除查詢作業以隱藏其活動的痕跡。
目標選擇-許多遭到入侵的組織都是技術和安全供應商,這表明這可能是一次供應鏈滲透嘗試。
透過攻擊供應商和服務供應商,該組織將攻擊範圍擴大到下游客戶和合作夥伴生態系統。
Salesloft 和 Salesforce 的回應
Salesloft 於 2025 年 8 月 20 日發佈公告,承認存在資料外洩事件,並確認已撤銷所有 Drift 與 Salesforce 的連線。 Salesforce 隨後也發表了聲明,指出只有「少數客戶」受到直接影響。兩家公司均已在事件發生後立即採取了措施:
- 無效的活動存取和刷新令牌
- 從 AppExchange 中刪除 Drift
- 合作遏制襲擊並評估影響
Salesloft 強調,該事件不會影響未整合 Salesforce 的組織。
更廣泛的威脅情勢
Salesforce 環境日益成為受經濟利益驅動的犯罪集團的牟利目標。其他集群,例如 UNC6040 和 UNC6240 (ShinyHunters),則以利用 SaaS 環境而聞名,其中 UNC6240 甚至與 Scattered Spider (UNC3944) 合作開展初始訪問活動。
目前尚無證據顯示 UNC6395 與這些組織存在關聯,因此它成為一個全新且獨特的威脅群集。然而,其攻擊活動的規模、重點和複雜程度使其與高風險對手並列。
緩解措施和後續步驟
Salesloft 已聘請第三方安全供應商來支援調查和補救工作。該公司敦促管理員重新驗證 Salesforce 連線以恢復集成,並採取額外的安全預防措施。
主要建議包括:
- 撤銷和輪換現有的 API 金鑰
- 使用新金鑰重新連接 Drift 集成
- 審查日誌中是否存在可疑查詢和潛在的資料洩露
- 進行更深入的調查以確定影響
對於透過 API 金鑰管理 Drift 連接的組織,強烈建議主動進行金鑰輪換。不過,Salesloft 已經直接解決了 OAuth 整合問題。
最後的結論
這項活動凸顯了 SaaS 生態系統中第三方整合日益增長的風險。透過濫用竊取的 OAuth 令牌,UNC6395 展示了其開展有針對性、隱密性且以供應鏈為導向的攻擊的能力。這次事件提醒我們,儘管雲端平台功能強大,但對於試圖利用數位供應鏈中信任關係的威脅行為者來說,它仍然是首要目標。
