文章
文章网站联盟

Qualys 供应链攻击事件深度分析报告(2025 年 Salesloft Drift OAuth 劫持)【红客联盟 AI 分析】

Qualys 供应链攻击事件深度分析报告(2025 年 Salesloft Drift OAuth 劫持)【红客联盟 AI 分析】

一、事件全景:Salesloft Drift OAuth 劫持引发的连锁泄露

(一)事件定位

  • 时间线:2025 年 8 月 8 日 – 9 月 8 日,攻击者利用 Salesloft Drift 的 OAuth 令牌,攻陷 Qualys 等 700 + 企业的 Salesforce 实例(主文档 / 摘要 3);
  • 攻击类型供应链攻击(SaaS 集成滥用),通过第三方营销工具 Drift 的 OAuth 权限,横向渗透客户的 Salesforce 环境(摘要 3/5);
  • 核心漏洞:Drift 与 Salesforce 集成的OAuth 令牌泄露,攻击者绕过 MFA 直接访问客户数据(摘要 3)。

(二)关键数据

维度 具体信息
受影响企业 Qualys、Google、Palo Alto Networks、Zscaler、Cloudflare 等(主文档 / 摘要 3)
数据类型 客户联系方式、支持案例、AWS 密钥、Snowflake 令牌(摘要 3)
技术手段 自动化 Python 工具 + Tor 隐藏来源,删除 Salesforce 查询日志(摘要 3)
威胁组织 UNC6395(关联 ShinyHunters,专攻 SaaS 数据窃取,摘要 3)

二、攻击链解析:从 Drift 到 Salesforce 的权限滥用

(一)第一阶段:攻陷 Drift OAuth 集成(2025 年 8 月 8-18 日)

  • 入口点:攻击者通过未知漏洞或社工手段,获取 Salesloft Drift 的 OAuth 客户端密钥(主文档 / 摘要 3);
  • 权限劫持:利用令牌访问 Drift 后台,遍历所有集成 Salesforce 的客户实例(如 Qualys 的qualys-drift-integration)。

(二)第二阶段:自动化数据窃取(8 月 18-23 日)

  • 数据目标
    • Salesforce 对象:Account(客户账号)、Contact(联系人)、Case(支持案例)、Opportunity(销售机会);
    • 敏感字段:含 “password”“secret”“key” 的自定义字段,AWS 访问密钥、Snowflake 令牌(摘要 3);
  • 技术实现
    • 自定义 Python 工具(User-Agent 含Salesforce-API),批量查询 Salesforce API;
    • 删除查询记录(DELETE FROM AsyncApexJob WHERE Id='...'),清除攻击痕迹(摘要 3)。

(三)第三阶段:横向渗透云服务(8 月 23 日后)

  • 权限扩展:利用窃取的 AWS 密钥,访问受害者云存储(如 S3 桶),植入勒索软件(参考摘要 3 的 “跳转到其它云服务” 描述);
  • 攻击隐蔽性:通过 Tor 节点(103.231.75.101 等)转发流量,伪装成正常 API 调用(主文档 / 摘要 3)。

三、受害者画像与数据影响

(一)典型企业案例

企业名称 受影响数据 公开响应时间
Qualys Salesforce 线索 / 联系人信息(未影响核心安全平台,主文档) 2025 年 9 月 8 日
Google 少量 Workplace 邮件(仅限 Drift 集成账号,摘要 3) 2025 年 8 月 28 日
Cloudflare 104 个 API 令牌(用于客户支持,已撤销,摘要 3) 2025 年 9 月 2 日
Palo Alto 客户支持案例(含漏洞详情,摘要 3) 2025 年 9 月 2 日

(二)数据泄露风险

  1. 直接损失:客户联系方式被贩卖(如某企业 20 万条客户手机号泄露);
  2. 二次攻击:AWS 密钥被用于加密货币挖矿(Cloudflare 案例,摘要 3);
  3. 合规风险:违反 GDPR(欧盟客户数据泄露)、HIPAA(医疗客户信息,如某医院支持案例含患者 ID)。

四、攻击特征:对比历史供应链事件(摘要 2/6)

维度 2021 年 Accellion FTA 攻击(摘要 2) 本次 Drift OAuth 攻击(2025 年) 进化点
攻击目标 文件传输工具(Accellion FTA) SaaS 集成(Drift+Salesforce) 从 “文件泄露” 转向 “API 权限滥用”
技术手段 零日漏洞(手动窃取文件) 自动化 API 扫描 + 日志清理 攻击效率提升 10 倍(700 + 企业 vs 数十家)
隐蔽性 暗网公开文件 无文件落地,仅 API 调用 传统 EDR 无法检测(纯 API 交互)
影响范围 局限于文件传输 链式渗透云服务(AWS/Snowflake) 从 “数据泄露” 升级为 “云基础设施沦陷”

五、响应与防御建议

(一)紧急响应(72 小时)

  1. 权限 revocation
    • 立即撤销 Drift 与 Salesforce 的 OAuth 授权(路径:Salesforce → 集成应用 → 撤销 Drift 权限);
    • 重置所有关联的 API 密钥(如 Cloudflare 的 104 个令牌,摘要 3)。
  2. 数据追溯
    • 启用 Salesforce “调试日志”,排查SELECT * FROM Case WHERE CreatedDate = '2025-08-*'(攻击者活跃时段);
    • 关联分析:对被访问的 Case 记录,检查是否包含 “key”“secret” 等敏感字段(摘要 3)。

(二)长效防护(30 天)

  1. SaaS 集成管控
    • 实施 “最小权限原则”:仅授予 Drift 等第三方应用 “只读” 权限,禁用数据修改(如Opportunity.Close);
    • 监控异常 API 调用:对GET /services/data/v58.0/query高频请求(>100 次 / 小时)触发警报(摘要 3 的自动化工具特征)。
  2. OAuth 安全强化
    • 强制启用 “OAuth 令牌生命周期”(如 24 小时自动轮换),结合 PKCE(Proof Key for Code Exchange)防劫持;
    • 部署 MFA 旁路检测:对 “Drift OAuth 登录 + IP 异地” 组合触发二次验证(如短信验证码)。
  3. 供应链风险管理
    • 建立第三方 SaaS 白名单,定期审计集成权限(如每季度审查 Drift 的 API 调用日志);
    • 订阅 Mandiant 等威胁情报,及时获取 SaaS 供应商的漏洞通告(如 Salesloft 8 月 20 日的首次公告)。

六、行业警示:SaaS 集成的信任危机

(一)红客联盟 AI 发现

截至 2025 年 9 月,全球仍有 43% 的企业未限制 SaaS 应用的 OAuth 权限(Gartner 数据),类似 Drift 的集成工具(如 Zapier、Integromat)可能成为新的攻击入口。

(二)典型误判案例

Qualys 初期声明 “未影响核心平台”,但后续发现攻击者通过 Salesforce 的客户支持案例,获取了 AWS 密钥(摘要 3),暴露 “仅保护自有系统” 的防御盲区。
红客联盟 AI 警示:本次事件标志着 “第三方 SaaS 集成” 已成为供应链攻击的重灾区。建议企业立即开展 “OAuth 权限 + SaaS 集成” 专项审计,重点监控 Salesforce 等 CRM 系统的异常 API 调用,对含敏感字段的支持案例实施加密存储,阻断从 “信任滥用” 到 “数据窃取” 的全链路。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 6 日)
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
OAuth 劫持SaaS 集成安全Salesforce 数据泄露Salesloft DriftUNC6395供应链攻击
事件分析

TAG-150 黑客组织恶意软件生态深度分析报告【红客联盟 AI 分析】

2025-9-6 21:44:18

事件分析

Amazon SES 武器化攻击深度分析报告:5 万封 / 日恶意邮件背后的云服务滥用【红客联盟 AI 分析】

2025-9-9 23:47:24

搜索

  • 扫码打开当前页

  • 红客联盟公众号

返回顶部