一次复杂的供应链攻击影响了包括主要网络安全公司在内的 700 多家组织,其历史可以追溯到 Salesloft 的 GitHub 帐户遭到的入侵,该攻击早在 2025 年 3 月就开始了。
在 2025 年 9 月 6 日的更新中,Salesloft 证实,网络安全公司 Mandiant 的一项调查发现,威胁行为者利用这种初始访问权限最终从其 Drift 聊天平台窃取 OAuth 身份验证令牌,导致客户系统的数据被广泛盗。
调查于 8 月 28 日开始,显示威胁行为者在 2025 年 3 月至 6 月期间访问了 Salesloft 的 GitHub 帐户。
在此期间,攻击者从私有存储库下载内容,添加访客用户,并建立工作流程,同时对 Salesloft 和 Drift 应用程序环境进行侦察。
虽然 Salesloft 平台本身没有被破坏,但攻击者转向了 Drift 的 AWS 环境,在那里他们成功获得了用于客户技术集成的 OAuth 代币。
Salesloft 漂移网络攻击
该威胁行为者被谷歌威胁情报小组确定为 UNC6395,在 8 月 8 日至 8 月 18 日期间使用这些被盗的令牌访问和窃取客户的集成应用程序(尤其是 Salesforce 实例)中的数据。
被盗数据主要包括业务联系信息,例如姓名、电子邮件地址和职位,以及支持案例中的内容。
此次泄露影响了众多知名公司,包括 Cloudflare、Zscaler、Palo Alto Networks、PagerDuty 和 SpyCloud。
该事件被认为是近期最大的 SaaS 供应链攻击之一,凸显了与第三方应用程序集成相关的风险。
为了应对这次攻击,Salesloft 与 Mandiant 合作并采取果断行动来遏制威胁。该公司使 Drift 平台完全离线,隔离其基础设施,并轮换所有受影响的凭据。
Mandiant 此后验证了该事件已得到控制,并且 Salesloft 和 Drift 环境之间的技术分段阻止了攻击者横向移动。
调查的重点现在已转移到法医质量保证审查上。Salesloft 已向其合作伙伴发布指南,建议所有通过 API 密钥与 Drift 集成的第三方应用程序主动撤销现有密钥。
该公司还发布了一份入侵指标 (IOC) 列表,包括恶意 IP 地址和用户代理字符串,以帮助客户搜索自己的日志以查找可疑活动。
| 指标类型 | 值/描述 |
|---|---|
| 恶意 IP 地址 | 来自不在 Drift 官方白名单上的 IP 的任何成功验证的 Drift 连接都应被视为可疑。以下 IP 被确认为恶意 [用户提供的文本]: – 154.41.95.2 – 176.65.149.100 – 179.43.159.198 – 185.130.47.58 – 185.207.107.130 – 185.220.101.133 – 185.220.101.143 – 185.220.101.164 – 185.220.101.167 – 185.220.101.169 – 185.220.101.180– 185.220.101.185 – 185.220.101.33 |
| 恶意用户代理字符串 | 以下用户代理字符串已与威胁行为者的活动 [用户提供的文本] 相关联: – – – python-requests/2.32.4Salesforce-Multi-Org-Fetcher/1.0Python/3.11 aiohttp/3.12.15 |
虽然一个名为“分散的 LAPSUS$ Hunters 4.0”的组织声称对此负责,但调查人员尚未找到可靠的证据来支持这一说法。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
