摘要:Mandiant 发现威胁组织在 2025 年 3 月至 2025 年 6 月期间在 Salesloft 和 Drift 应用程序环境中执行了侦察活动。黑客在 3 月至 6 月期间访问了 Salesloft 的 GitHub,下载了存储库数据,添加了访客用户并
Salesloft 透露,威胁组织UNC6395于今年 3 月份入侵其 GitHub 帐户,窃取了身份验证令牌,随后用于对几家主要科技客户发动大规模攻击。
Salesforce 数据盗窃攻击影响了Google、Zscaler、Cloudflare 和Palo Alto Networks等主要客户。
Mandiant 发现威胁组织在 2025 年 3 月至 2025 年 6 月期间在 Salesloft 和 Drift 应用程序环境中执行了侦察活动。黑客在 3 月至 6 月期间访问了 Salesloft 的 GitHub,下载了存储库数据,添加了访客用户并创建了工作流程。
攻击者还入侵了 Salesloft 与其 Drift 平台绑定的 AWS 环境,窃取了 Drift 客户使用的 OAuth 令牌。尽管该公司表示事件现已得到控制,但六个月后才检测到入侵事件仍引发安全隐患。
以下是Mandiant 调查的结果:
2025年3月至6月,威胁组织访问了Salesloft的GitHub帐户。通过此访问权限,威胁组织能够从多个存储库下载内容,添加访客用户并建立工作流程。2025 年 3 月至 2025 年 6 月期间,Salesloft 和 Drift 应用环境中发生了侦察活动。分析没有发现与 Salesloft 应用环境相关的有限侦察之外的证据。威胁组织访问了 Drift 的 AWS 环境并获取了 Drift 客户技术集成的 OAuth 令牌。威胁组织使用被盗的 OAuth 令牌通过 Drift 集成访问数据。Salesloft 表示,已隔离 Drift 的基础设施、应用程序和代码,并于 2025 年 9 月 5 日下线。
此外,该公司还轮换了凭证,并在 Salesloft 和 Drift 之间加强了隔离。
该公司建议撤销所有 Drift API 密钥。Salesforce 在 8 月 28 日暂停了与 Salesloft 的集成,并于 9 月 7 日恢复了集成,但确认 Drift 将继续停用,直至另行通知。
Salesforce 已重新启用与 Salesloft 技术的集成,但 Drift 应用除外。作为我们持续应对安全事件的一部分,Drift 将保持禁用状态,直至另行通知。
2025年 9 月 7 日发布的更新写道: “此决定遵循了 Salesloft 实施的安全措施和补救步骤,这些措施和步骤已由 Mandiant 独立验证。”
来源:会杀毒的单反狗