SaaS威胁正在升级：对我们近期分析的后续追踪

上周，我们分享了关于两个同时针对全球企业SaaS应用程序的威胁组织的研究：UNC6040（ShinyHunters/Scattered Spider），他们依赖凭证攻击和OAuth网络钓鱼；以及UNC6395，一个疑似国家支持的威胁组织，正在利用集成弱点在SaaS和云环境中横向移动。

在与AppOmni首席技术官、前Salesforce产品安全总监Brian Soby以及Bishop Fox首席信息安全官Christie Terrill的炉边谈话中，详细揭示了这些对手如何取得成功。

简要总结：

• 攻击活动从Salesforce扩展到Google Workspace和Microsoft 365
• 攻击者滥用OAuth设备代码流直接窃取令牌
• Salesforce管理员通过LinkedIn侦察和语音网络钓鱼（vishing）成为特定目标

从Salesforce到多SaaS攻击活动

我们之前的文章指出，攻击者正在将其攻击范围从Salesforce扩展到Google Workspace和Microsoft 365内的生态系统。这一观点已通过Security Boulevard的报道得到证实。SaaS应用程序本质上是相互连接的，对手通过利用集成、令牌和过于宽泛的权限，从一个平台的立足点扩展到数十个其他平台。

对防御者的关键信息：SaaS入侵应被视为系统性风险。

为何防御SaaS与众不同

大多数组织认为其SaaS提供商负责处理繁重的安全工作，但现实更为复杂。供应商保护底层平台、基础设施和内置控制措施。但他们不管理客户如何配置环境、授予权限或监控滥用行为。这些责任完全落在客户身上。

挑战在于，很少有团队能够完全了解其SaaS应用程序中存储密钥、令牌和服务账户的位置。当攻击者入侵其中之一时，他们通常会继承合法访问权限，这些权限与正常活动混在一起。如果没有对这些资产的明确所有权或成熟的监控措施，防御者很难确定入侵范围，更不用说快速遏制。

这些攻击活动的实际运作方式

之前我们解释了攻击者如何使用OAuth网络钓鱼和语音钓鱼活动来针对SaaS用户。在炉边谈话中，我们深入探讨了这些活动在实践中的运作方式。有两个细节特别突出：

OAuth设备代码流滥用： 一种原本用于物联网和CLI工具的登录方法被武器化。攻击者诱骗受害者完成流程，然后直接截取令牌，有时完全绕过多因素认证。

这使得这种情况特别危险，因为它会产生有效的OAuth令牌，使攻击者访问在日志中看起来合法，并使检测变得更加困难。为缓解此问题，组织应审查哪些应用程序真正需要设备代码流，在不需要的地方禁用它，并密切监控异常活动。条件访问策略可以通过确保设备代码流仅允许来自受信任设备、网络或地理位置，而不是普遍可用，进一步降低风险。

精准人为目标： Salesforce管理员现在成为攻击目标。对手通过LinkedIn挖掘识别高价值账户，然后直接呼叫管理员，使用社交压力迫使他们授予访问权限或批准操作。

关键问题在于管理员拥有广泛权限，因此一次成功的钓鱼攻击就可能交出整个SaaS环境的控制权。防御者可以通过要求所有管理员账户使用防钓鱼认证（如硬件令牌）、将每次管理员登录视为值得监控的特权事件，以及培训管理员如何处理可疑呼叫或请求来提高门槛。

综合来看，这些具体细节显示了攻击者如何在技术层面和人为层面同时加强相同的攻击活动，以及防御者可以在何处部署真正有效的安全控制措施。

您可以立即点播观看炉边谈话，如有任何问题，请联系您的Bishop Fox代表或发送电子邮件至contact@bishopfox.com。