OAuth 代币盗窃事件-红客联盟 AI 分析报告

一、报告基础信息

• 情报来源：红客联盟官方门户 | https://www.chnhonker.com/3113.html
• 情报编号：HK-MW-202509043113
• 分析主体：红客联盟 AI 智能安全分析员
• 分析目标：分析网址内容中 Salesloft Drift 相关 OAuth 代币盗窃事件的攻击细节、影响范围及应对措施，为后续供应链攻击防御、令牌安全管控、应急响应提供依据。
• 报告声明：本报告来源网络情报，由红客联盟 AI 进行分析，仅供参阅与技术交流，不做任何保证。

二、分析内容开始

（一）事件核心概况：Salesloft 下线 Drift 的背景与动因

1. 事件触发与应对动作：2025 年 9 月，Salesloft 宣布 “暂时下线 Drift（其旗下营销 SaaS 产品）”，目的是 “全面审查应用程序、建立额外安全弹性”，恢复期间客户网站的 Drift 聊天机器人将不可用，且无法访问 Drift 系统；此次下线是对 “大规模 OAuth 代币盗窃引发的供应链攻击” 的紧急响应，Salesloft 同步联合 Mandiant（网络安全公司）、Coalition（保险与安全服务商）推进事件响应。
2. 攻击时间线与主导者：
   • 攻击周期：2025 年 8 月 8 日至 8 月 18 日，威胁行为者持续利用受损令牌发起攻击；
   • 威胁主体：攻击归因于威胁集群UNC6395（又名 GRUB1） ，谷歌威胁情报组织（GTIG）披露该集群通过 Drift 相关漏洞实施数据盗窃。

（二）攻击技术细节：OAuth 代币盗窃与影响范围扩散

1. 攻击核心手段

• 目标载体：聚焦 Drift（Salesloft 旗下 AI 聊天代理）的第三方应用集成，通过盗取与 Drift 关联的OAuth 令牌、刷新令牌，突破客户的身份验证防线；
• 攻击落点：优先破坏客户的 Salesforce 实例（初期仅披露该集成受影响），后续确认 “所有与 Drift 有集成的平台均存在风险”；
• 初始访问谜团：截至报告披露，威胁行为者如何获取 Salesloft Drift 初始访问权限的具体路径尚未明确，不排除存在未公开漏洞或内部风险的可能。

2. 影响规模与受影响企业

• 整体范围：谷歌威胁情报组织（GTIG）指出，超 700 家组织面临潜在影响，覆盖多个行业的营销、IT 服务类企业；
• 已确认受影响企业名单：

3. 关联平台的应急动作

• Salesforce（核心受影响平台）：为防范风险，暂时禁用所有 Salesloft 与 Salesforce 的集成，阻断威胁行为者通过被盗令牌进一步渗透客户实例；
• Cloudflare（受影响企业）：发布声明指出 “此次事件非孤立事件，威胁行为者旨在收集凭据与客户信息，用于后续针对性攻击”，提示全行业警惕连锁风险。

（三）事件核心风险：供应链攻击的连锁危害

1. SaaS 供应链攻击的典型特征：Drift 作为 “营销 SaaS 工具”，广泛集成于 Salesforce、Google Workspace 等企业核心系统，其令牌被盗相当于威胁行为者获取 “跨平台身份通行证”，可横向渗透多个客户系统，形成 “一损俱损” 的供应链风险；
2. 后续攻击隐患：Cloudflare 强调，威胁行为者窃取的 OAuth 令牌、客户信息，可能被用于 “针对受影响组织的客户发起精准钓鱼、数据盗窃”，风险从企业端向终端用户扩散；
3. 业务中断影响：Drift 下线导致依赖其聊天机器人的企业营销链路中断，可能影响客户咨询响应、潜在客户转化等核心营销场景。

三、红客联盟 AI 研究院建议

1. 企业层面：紧急排查与令牌管控
   • 立即核查 “是否与 Drift 有集成”：对已集成 Drift 的系统，强制轮换所有 OAuth 令牌、刷新令牌，撤销 Drift 的第三方访问权限，直至 Salesloft 确认 Drift 安全恢复；
   • 监控异常访问行为：重点关注 Salesforce、Google Workspace 等集成平台的 “非授权登录、异常数据导出”，尤其警惕来自 UNC6395 集群的 IP 或行为特征；
   • 供应链风险梳理：梳理企业使用的所有营销 SaaS 工具（如 HubSpot、Mailchimp 等），评估第三方应用的令牌权限范围，遵循 “最小权限原则” 缩减访问权限。
2. 平台层面（SaaS 服务商）：安全加固方向
   • 强化 OAuth 令牌安全：增加令牌有效期限制、多因素验证（MFA）绑定，对 “高权限令牌的使用场景”（如访问 Salesforce 客户数据）添加二次校验；
   • 建立供应链攻击响应机制：提前与 Mandiant、GTIG 等情报机构对接，获取威胁集群（如 UNC6395）的 IOCs（威胁指标），在攻击早期阻断风险；
   • 透明化披露流程：及时向客户同步漏洞修复进度、受影响范围，避免因信息滞后导致客户错失防御时机。
3. 用户层面：警惕后续针对性攻击
   • 对来自 “受影响企业” 的邮件、链接保持警惕，尤其是 “营销咨询”“账户验证” 类内容，避免点击不明链接或提供敏感信息；
   • 定期修改与受影响平台关联的账户密码，启用 MFA，降低因凭据泄露导致的账户被盗风险。