广泛的数据盗窃通过 Salesloft Drift 针对 S... 笔记

广泛的数据盗窃通过 Salesloft Drift 针对 Salesforce 实例

Google 威胁情报小组(GTIG)发布了一份关于攻击者 UNC6395 发起的大规模数据盗窃活动的公告。该活动从 2025 年 8 月 8 日至 8 月 18 日期间活跃,目标是 Salesforce 客户实例。UNC6395 利用了与 Salesloft Drift 第三方应用程序关联的已泄露 OAuth 令牌。该攻击者系统地导出了大量数据,主要目的是窃取凭据。具体来说,UNC6395 搜索了 AWS 访问密钥、密码和 Snowflake 令牌等敏感信息。虽然 UNC6395 试图通过删除查询作业来销毁证据,但日志仍然可供法证分析。Salesloft 已撤销了 Drift 应用程序的所有活动令牌,并将其从 Salesforce AppExchange 中移除。此事件并非源于 Salesforce 核心平台的漏洞。GTIG 建议使用 Drift 与 Salesforce 集成的组织考虑其数据可能已被泄露,并立即采取补救措施。这些措施包括搜索和轮换任何已发现的密钥、重置密码以及加强对连接应用程序的访问控制。