網路安全廠商Zscaler日前發布資安事件通報,證實該公司成為Salesloft Drift攻擊事件的受害者。這起攻擊事件源於Salesloft Drift與Salesforce整合的AI聊天代理服務遭到入侵。攻擊者竊取了OAuth和更新令牌,進而存取Salesforce用戶環境並竊取敏感資料。
相關文章:Google 證實:Salesloft Drift 資安漏洞擴大 相關整合平台認證令牌應視為已遭駭
Zscaler在聲明中表示:「未授權攻擊者取得了Salesloft Drift用戶憑證,其中包含Zscaler。經過詳細調查後,我們確認這些憑證允許有限度存取部分Zscaler的Salesforce資訊。」
外洩資料內容
此次事件中被竊取的資料包括:
- 姓名
- 商務電子郵件地址
- 職稱
- 電話號碼
- 地區/位置詳細資訊
- Zscaler產品授權和商業資訊
- 部分技術支援案例的純文字內容(不包括附件、檔案或圖像)
Zscaler強調,此次資料外洩僅影響其Salesforce系統,並未波及任何Zscaler產品、服務或基礎設施。
UNC6395主導此事件
根據Google威脅情報部門(Google Threat Intelligence)分析,這起攻擊活動由編號UNC6395的威脅行為者主導。該組織在8月8日至8月18日期間鎖定了「眾多」Salesforce用戶,竊取大量資料,可能已影響數百家企業客戶。
Google威脅情報報告指出,已觀察到UNC6395鎖定敏感憑證,如Amazon Web Services (AWS)存取金鑰(AKIA)、密碼,以及客戶在請求支援時分享的Snowflake相關存取令牌。
UNC6395展現出高度的作業安全意識,會刪除查詢作業記錄,但系統日誌並未受到影響,因此各組織仍應檢視相關日誌以尋找資料外洩的證據。
調查顯示,Salesloft供應鏈攻擊的影響範圍不僅限於Drift與Salesforce的整合服務,還延伸至用於管理電子郵件回覆和組織CRM及行銷自動化資料庫的Drift Email服務。
Google上週警告,
攻擊者還利用竊取的OAuth令牌存取Google Workspace電子郵件帳戶並讀取電子郵件內容。基於安全考量,Google和Salesforce已暫時停用其Drift整合功能,待調查完成後再行恢復。
可能關聯的攻擊活動
部分資安研究人員認為,Salesloft Drift入侵事件可能與近期
ShinyHunters勒索集團針對Salesforce進行的資料竊取攻擊有所關聯。自今年年初以來,ShinyHunters以社交工程攻擊以入侵Salesforce用戶並下載資料。攻擊手法包括透過語音釣魚(vishing)欺騙員工將惡意OAuth應用程式連結用戶的Salesforce平台,進而竊取資料庫並透過電子郵件勒索企業。
自Google於6月首次報告此類攻擊以來,已有眾多企業遭到波及,包括Google本身、思科(Cisco)、Farmers Insurance、Workday、愛迪達(Adidas)、澳洲航空(Qantas)、Allianz Life,以及LVMH集團旗下的路易威登(Louis Vuitton)、迪奧(Dior)和蒂芙尼(Tiffany & Co.)等知名企業。
應對措施與建議
面對此次事件,Zscaler已迅速採取以下應對措施:
- 撤銷所有Salesloft Drift應用程式對其Salesforce資料的存取權限
- 輪換API存取令牌
- 加強客戶身份驗證協定,防範社交工程攻擊
- 實施額外的安全防護措施和強化協定
Zscaler建議客戶保持高度警覺,特別留意可能利用外洩聯絡資訊進行的釣魚攻擊或社交工程企圖。Zscaler提醒客戶對於未經請求的通訊,包括電子郵件、電話或敏感資訊請求,務必謹慎處理,始終驗證通訊來源,絕不透過非官方管道揭露密碼或財務資料。
雖然Zscaler表示事件範圍有限且未發現資料遭到濫用的證據,但這起供應鏈攻擊再次凸顯了第三方整合服務所帶來的潛在安全風險,企業應加強對供應鏈安全的重視與防護措施。