超过200家公司因Salesforce单一后门被黑:供应链攻击深度剖析

谷歌威胁情报小组确认了一起灾难性的供应链攻击,超过200家公司数据被盗。攻击者通过入侵Gainsight在Salesforce生态中的应用,利用OAuth信任关系大规模窃取数据。文章深入剖析了攻击链、对手特征,并提出了从紧急审计到实施零信任的防御策略,标志着互联云默认信任时代的终结。

200+ 家公司通过单一 Salesforce 后门被入侵

谷歌威胁情报小组(GTIG)确认了一起灾难性的供应链攻击,其初始影响范围之大令人震惊:超过200家公司的数据被盗。入侵途径是什么?客户成功平台Gainsight在Salesforce生态系统中发布的应用程序被攻陷。

但这远不止是单一事件。这是由威胁组织UNC6240(由谷歌追踪)实施的持续攻击活动中最新、高度复杂的行动,该组织也被称为“Scattered Lapsus$ Hunters”。这个包括臭名昭著的ShinyHunters成员在内的组织,正在系统地瞄准现代企业的连接组织:SaaS平台之间受信任的集成。

解构攻击链——信任被利用的时间线

这次攻击展示了对现代云环境的冷酷理解。这不是一次“打了就跑”的袭击;而是一场耐心的、多阶段的操作。

阶段 战术与技术 背景与洞察
1. 初始访问 入侵Gainsight(约2025年8月) 该组织首先在大约三个月前侵入了Gainsight的内部系统。据称,他们是通过先前对Salesloft Drift应用程序进行的、完全相同的攻击获得了这个初始立足点。这表明了一个软件供应链的级联效应——一个被入侵的供应商成为了入侵下一个的垫脚石。
2. 持久化与武器化 修改合法应用程序 在Gainsight的环境内部,攻击者瞄准了该公司在Salesforce AppExchange上的合法应用程序。通过入侵这些应用程序,他们将业务运营工具变成了武器。
3. 横向移动与权限提升 滥用OAuth和信任关系 当一家公司安装Gainsight应用程序时,它会授予该应用程序某些访问Salesforce数据的权限(OAuth令牌)。攻击者继承了这些权限。关键失误在于?许多公司授予了这些应用程序过度的、广泛的数据访问权限(例如,“读/写所有”),远远超出了其功能所需。
4. 数据外泄 基于API的数据收集 利用受入侵应用程序的合法访问权限,攻击者通过Salesforce API执行了自动化、大规模的数据查询和导出。因为这种流量来自受信任、已加入白名单的来源,所以极难与合法的业务活动区分开来。

技术洞察:“这次攻击完全绕过了传统的网络安全控制措施,”一位受影响公司的高级安全工程师(要求匿名)解释道。“流量从未触及你的防火墙。它是你防线内部的一个受信任实体,对你最敏感的数据仓库进行授权的API调用。你的SIEM(安全信息和事件管理)系统可能能看到它,但如果没有极其细粒度的行为基线,它看起来就和日常业务一样。”

UNC6240 与 “Scattered Lapsus$” 的攻击模式

了解“谁”是理解“为什么”的关键。UNC6240不是典型的民族国家行为者。他们的特征指向一个以经济利益为动机的网络犯罪集团,具有独特的作案手法,深受原始Lapsus$组织的影响。

主要对手特征

  • 动机:经济利益。他们的最终目标很可能是勒索受害公司,在暗网论坛出售被盗数据,或两者兼有。
  • 战术:社会工程学与MFA疲劳攻击。他们以使用复杂的网络钓鱼和SIM卡交换攻击来窃取员工凭证而闻名,经常用MFA推送通知轰炸受害者,直到有人意外批准。
  • 标志:公然勒索与公开羞辱。与Lapsus$一样,他们在Telegram等平台上公开点名受害者,以最大化勒索付款的压力。他们对CrowdStrike、DocuSign、GitLab和LinkedIn等巨头的指控完全符合这种模式。
  • 战略重点:软件供应链。他们反复攻击B2B SaaS提供商(如Gainsight和Salesloft),以放大其攻击的影响。

并非孤立事件

孤立地看待Gainsight入侵事件,就会错过整个故事。这是一场数月前开始的剧本中的第二幕核心情节。

  • 先例:Salesloft/Drift入侵事件(2025年8月):完全相同的威胁行为者通过Salesloft的Drift应用程序执行了几乎相同的攻击。Gainsight本身就是那次早期入侵的受害者,这为当前更广泛的攻击提供了跳板。
  • 模式:这次行动揭示了一个蓄意的策略:识别那些与其他关键系统有高级集成的、广泛使用的SaaS平台,入侵其中一个,并利用它攻击其整个客户群。攻击面不是公司自己的基础设施,而是其受信任合作伙伴的网络。

超越“打勾式”安全

“修补系统”的标准建议在这里毫无意义。防御需要战略的根本转变。

立即行动(本周内)

  1. 进行彻底的第三方应用程序审计:在你的Salesforce、M365、Slack和Snowflake环境中,审查每一个连接的应用程序。立即撤销任何非必需或不熟悉的应用程序的访问权限。不要拖延。
  2. 仔细检查API日志中的异常:寻找在数量、频率或时间上异常的数据访问模式。重点关注大型数据查询和导出,特别是来自与第三方应用程序相关的服务账户。

战略转变(长期)

  1. 对SaaS集成采用零信任原则:无情地应用“最小权限访问”原则。像Gainsight这样用于客户分析的应用程序,绝不应拥有“读取所有”的全面权限。其访问权限应仅限于特定的数据对象和字段。
  2. 实施CASB或SSPM:云访问安全代理(CASB)或SaaS安全态势管理(SSPM)工具可以自动发现影子IT,对已批准的应用程序强制执行安全策略,并检测整个云环境中的异常活动。
  3. 假设已遭入侵,即使是供应商:你的安全模型现在必须考虑到你最信任的供应商可能被入侵。对数据访问进行分段,加密敏感字段,并制定包含“第三方供应商入侵”场景的事件响应计划。

互联云纯真时代的终结

Gainsight入侵事件是一个分水岭。它证明,现代SaaS生态系统的效率和连通性已经造成了我们刚刚开始量化的系统性风险。

防线不再是你的网络;而是你授予每个第三方应用程序的所有权限的总和。攻击面不再是你的公共IP范围;而是跨越你数字供应链的整个OAuth令牌链。

这一事件是对各地CISO和安全团队的呼吁:默认信任第三方集成的时代已经结束。经过验证的、最小化的、持续监控的访问时代已经开始。

这是一起正在发展的事件。随着取证调查的更多细节出现,请关注后续的技术分析。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次