事件概述
近期,AI聊天机器人制造商Salesloft发生大规模身份验证令牌被盗事件,该公司产品被美国众多企业用于将客户互动转化为Salesforce销售线索。许多公司正争分夺秒地在黑客利用这些被盗凭证前使其失效。谷歌警告称,此次泄露事件的影响远超对Salesforce数据的访问权限,黑客还窃取了客户可与Salesloft集成的数百项在线服务的有效身份验证令牌,包括Slack、Google Workspace、Amazon S3、Microsoft Azure和OpenAI。
Salesloft声称其产品受到5,000多家客户的信任。公司官网上展示了一些知名客户。
事件时间线
8月20日:Salesloft披露发现其Drift应用存在安全问题,该技术为众多企业网站使用的AI聊天机器人提供支持。该公司建议客户重新验证Drift和Salesforce应用之间的连接以使现有身份验证令牌失效,但未表明这些令牌已被盗。
8月26日:谷歌威胁情报小组(GTIG)警告称,被追踪为UNC6395的黑客利用从Salesloft窃取的访问令牌从多个企业Salesforce实例中窃取大量数据。谷歌表示数据窃取最早始于2025年8月8日,持续到至少8月18日,该事件不涉及Salesforce平台的任何漏洞。
8月28日:GTIG更新公告,承认攻击者使用被盗令牌访问了“极少数”专门配置为与Salesloft集成的Google Workspace账户的电子邮件。更重要的是,它建议组织立即使其Salesloft集成中存储或连接的所有令牌失效——无论涉及何种第三方服务。
同日,Salesforce阻止了Drift与其平台及其生产力平台Slack和Pardot的集成。
攻击手法与影响
谷歌表示,攻击者一直在筛选大量被盗数据,寻找AWS密钥、VPN凭证和云存储提供商Snowflake的凭证等凭据材料。
GTIG报告指出:“如果成功,正确的凭证可能允许他们进一步危害受害者和客户环境,并转向受害者的客户或合作伙伴环境。”
谷歌建议:“鉴于GTIG观察到的与此次攻击活动相关的数据外泄,使用Salesloft Drift与第三方平台(包括但不限于Salesforce)集成的组织应认为其数据已遭泄露,并敦促立即采取补救措施。”
相关威胁组织
Salesloft事件发生之前,曾出现一场广泛的社交工程活动,使用语音钓鱼诱骗目标将恶意应用连接到其组织的Salesforce门户。该活动导致包括阿迪达斯、安联人寿和澳洲航空在内的多家公司遭受数据泄露和勒索攻击。
8月5日:谷歌披露其一个企业Salesforce实例被攻击者入侵,GTIG将其称为UNC6040。谷歌表示勒索者一直声称自己是ShinyHunters威胁组织,该组织似乎正准备通过启动数据泄露网站来升级其勒索攻击。
ShinyHunters是一个多变的威胁组织,以使用社交工程侵入云平台和第三方IT提供商,并向网络犯罪社区(如现已关闭的Breachforums)发布数十个被盗数据库而闻名。
ShinyHunters品牌可追溯至2020年,该组织因数十起数据泄露事件(暴露了数亿条被入侵记录)而受到认可或承担责任。该组织的成员名单被认为是流动的,主要来自The Com的活跃居民,这是一个主要使用英语的网络犯罪社区,分散在大量Telegram和Discord服务器中。
Recorded Future的Alan Liska告诉Bleeping Computer,ShinyHunters和Scattered Spider勒索组织使用的“工具、技术和程序”重叠可能表明这两个组织之间存在某种交叉。
8月28日:一个Telegram频道在故意混淆的“Scattered LAPSUS$ Hunters 4.0”旗帜下启动,目前已有近40,000名订阅者,参与者多次声称对Salesloft黑客攻击负责,但未分享任何细节证明其说法。
该Telegram群组一直通过威胁谷歌和其他公司的安全研究人员来吸引媒体关注。它还利用该频道的突然流行推广一个名为“Breachstars”的新网络犯罪论坛,声称该论坛将很快托管从拒绝谈判赎金的受害公司窃取的数据。
但谷歌威胁情报小组的首席威胁分析师Austin Larsen表示,目前没有令人信服的证据将Salesloft活动归因于ShinyHunters或其他已知组织。
Larsen在提到Scattered LAPSUS$ Hunters 4.0 Telegram频道中最活跃的参与者时表示:“他们对事件的理解似乎仅来自公开报道。”
技术分析:授权泛滥
Counter Hack的高级技术总监Joshua Wright创造了“授权泛滥”一词,描述了Scattered Spider和ShinyHunters等组织的社交工程攻击经常成功的一个关键原因:他们滥用合法的用户访问令牌在本地和云系统之间无缝移动。
Wright表示,这种类型的攻击链通常不会被检测到,因为攻击者坚持使用已分配给用户的资源和访问权限。
Wright在2025年6月的一篇专栏文章中写道:“与传统的初始访问、权限提升和端点绕过链不同,这些威胁行为者正在使用提供单点登录(SSO)以及集成身份验证和授权方案的集中式身份平台。攻击者不是创建自定义恶意软件,而是使用作为授权用户已经可用的资源。”
调查进展
目前尚不清楚攻击者如何获得所有Salesloft Drift身份验证令牌的访问权限。Salesloft于8月27日宣布聘请谷歌云的事件响应部门Mandiant调查根本原因。
Mandiant咨询首席技术官Charles Carmakal告诉Cyberscoop:“我们正在与Salesloft Drift合作调查发生的根本原因,然后由他们发布该信息。明天、后天以及之后会有更多信息。”