Google 威脅情報小組(GTIG)與 Mandiant 在最新的威脅情報通報中揭露,先前針對 Salesforce 平台透過 Salesloft Drift 整合服務發動的攻擊事件,其影響範圍遠超出最初評估。這起
由駭客組織 UNC6395 發動的攻擊,已擴及所有與 Drift 平台相關的第三方整合服務。
Google 在更新的資安通報中明確建議:「
所有 Salesloft Drift 客戶應將儲存於 Drift 平台或與其連接的任何認證令牌(authentication tokens)視為已遭入侵。」此建議顯示攻擊者的滲透能力已超出原先 Salesforce 整合服務的範疇。
攻擊手法與受害範圍
駭客於 8 月 8 日至 18 日期間,利用竊取的 OAuth 令牌攻擊多個雲端服務平台。除了已知的 Salesforce 平台資料外洩外,Google 進一步確認攻擊者於 8 月 9 日透過「Drift Email」整合服務的 OAuth 令牌成功入侵少數 Google Workspace 電子郵件帳戶。
針對 Salesforce 平台,駭客執行查詢指令,鎖定客戶案例(Cases)、帳戶(Accounts)、使用者(Users)及商機(Opportunities)等關鍵資料表。他們透過掃描客戶服務工單與訊息內容,尋找 AWS 存取金鑰、Snowflake 令牌和密碼等敏感資訊,將這些資料作為入侵其他雲端帳戶的跳板。
廠商應變措施
針對此次安全事件,相關廠商已迅速採取多項應變措施。Google 主動通知受影響用戶、撤銷特定 OAuth 令牌,並暫時停用 Google Workspace 與 Salesloft Drift 間的整合功能。Salesforce 同樣採取預防性措施,暫時停用所有 Salesloft 相關整合服務,包括與 Salesforce、Slack 及 Pardot 的連接功能。
Google 特別強調,此次事件並非 Google Workspace 或 Alphabet 本身遭到入侵。
受影響的僅限於特定已設定 Salesloft 服務整合的帳戶,攻擊者無法存取客戶 Workspace 網域內的其他帳戶。
建議防護措施
Google 與 Mandiant 建議所有使用 Drift 服務的組織立即採取下列防護措施:
- 將所有與 Drift 平台相關的認證令牌視為已遭入侵,立即撤銷並更新;
- 全面檢視與 Drift 實例連接的所有第三方整合服務;
- 撤銷並輪替相關應用程式的憑證;
- 調查所有連接系統是否出現未經授權的存取跡象。
此外,組織應檢查敏感資訊是否意外暴露,並重置可能遭入侵的憑證。Salesloft 已委託 Mandiant 與 Coalition 協助進行深度調查,以釐清完整的攻擊範圍與影響。
延伸閱讀:ShinyHunters 鎖定 Salesforce 發動社交工程攻擊 Chanel、Pandora 等知名品牌
本文轉載自 TheHackerNews、BleepingComputer。