SaaS威胁正在升级：我们最新分析的后续追踪

上周，我们分享了关于两个同时针对全球企业SaaS应用程序的威胁组织的研究：UNC6040（ShinyHunters/Scattered Spider），依赖凭证攻击和OAuth网络钓鱼；以及UNC6395，一个疑似国家支持的威胁组织，正在利用集成弱点在SaaS和云环境中横向移动。

在与AppOmni首席技术官、前Salesforce产品安全总监Brian Soby以及Bishop Fox首席信息安全官Christie Terrill的炉边对话中，详细揭示了这些对手如何取得成功。

简要总结：

• 攻击活动从Salesforce扩展到Google Workspace和Microsoft 365
• 攻击者滥用OAuth设备代码流直接网络钓鱼获取令牌
• Salesforce管理员通过LinkedIn侦察和语音网络钓鱼（vishing）成为特定目标

从Salesforce到多SaaS活动

我们之前的文章指出，攻击者正在将其触角从Salesforce扩展到Google Workspace和Microsoft 365内的生态系统。这一观点后来通过Security Boulevard的报道得到确认。SaaS应用程序本质上是相互连接的，对手通过利用集成、令牌和过于宽泛的权限，从一个平台的立足点移动到数十个其他平台。

对防御者的关键信息：SaaS入侵应被视为系统性风险。

为什么防御SaaS与众不同

大多数组织假设其SaaS提供商负责安全的重任，但现实更为微妙。供应商保护底层平台、基础设施和内置控制。他们不管理的是客户如何配置其环境、授予权限或监控滥用行为。这一责任完全落在客户身上。

挑战在于，很少有团队能完全了解其SaaS应用程序内部存储密钥、令牌和服务账户的位置。当攻击者入侵其中之一时，他们通常会继承与正常活动融为一体的合法访问权限。如果没有对这些资产的明确所有权或成熟的监控机制，防御者很难确定入侵的范围，更不用说快速遏制它。

这些活动如何展开

之前，我们解释了攻击者如何使用OAuth网络钓鱼和vishing活动来针对SaaS用户。在炉边对话中，我们更深入地探讨了这些活动在实践中的运作方式。有两个细节尤为突出：

OAuth设备代码流滥用： 一种原本用于物联网和CLI工具的登录方法被武器化。攻击者诱骗受害者完成流程，然后直接拦截令牌，有时完全绕过多因素认证（MFA）。

这尤其危险的是，它产生一个有效的OAuth令牌，使攻击者访问在日志中看起来合法，使检测变得更加困难。为缓解此问题，组织应审查哪些应用程序真正需要设备代码流，在不需要的地方禁用它，并密切监控异常活动。条件访问策略可以通过确保设备代码流仅允许来自受信任设备、网络或地理位置，而不是普遍可用，进一步降低风险。

精准人为目标定位： Salesforce管理员现在成为目标。对手正在挖掘LinkedIn以识别高价值账户，然后直接呼叫管理员，利用社交压力迫使他们授予访问权限或批准操作。

关键问题是管理员拥有广泛权限，因此一次成功的网络钓鱼可能交出整个SaaS环境的控制权。防御者可以通过要求所有管理员账户使用抗网络钓鱼认证（如硬件令牌），将每个管理员登录视为值得监控的特权事件，并培训管理员如何处理可疑呼叫或请求来提高门槛。

综合来看，这些具体细节显示了攻击者如何在相同活动中收紧技术和人为两方面，以及防御者可以在何处放置真正有效的安全控制措施。

您可以按需观看炉边对话，如有任何问题，请联系您的Bishop Fox代表或发送电子邮件至contact@bishopfox.com。