攻击描述

威胁组织UNC6395利用Salesloft Drift集成（一款与Salesforce等平台连接的SaaS AI聊天机器人工具）窃取OAuth和刷新令牌。这些令牌使攻击者能够绕过正常认证控制，无需直接入侵Salesforce账户即可访问目标环境。

攻击者随后系统性地从数十个（可能数百个）Salesforce客户实例中导出敏感凭证。被窃取的数据包括AWS访问密钥、Snowflake认证令牌、VPN凭证、密码和API密钥。

利用这些令牌，UNC6395不仅能够渗透Salesforce，还能入侵Google Workspace、Cloudflare、Zscaler、Palo Alto Networks等连接系统。这使得攻击影响范围远超CRM数据，暴露了广泛的企业环境。

虽然初步报告认为漏洞仅限于Salesforce集成，但后续调查确认所有Salesloft Drift集成都应视为已遭入侵。

推荐缓解措施

• 审查安全公告：查看Salesloft安全公告及其他受影响的合作伙伴公告
• 撤销并重新生成令牌：立即断开并重新生成所有与Salesloft Drift及相关连接的令牌
• 审计和监控活动：审查Salesforce、Google Workspace等集成平台的日志，查找异常数据导出、隐藏任务或可疑API调用
• 收紧集成权限：实施最小权限原则，限制API范围，应用基于IP的访问控制以减少暴露面
• 轮换所有暴露的密钥：替换已泄露或可能暴露的凭证，包括AWS密钥、Snowflake令牌、VPN账户和API令牌
• 防范网络钓鱼和冒充：监控利用泄露联系人数据针对员工或客户的社交工程企图

FortiGuard防护覆盖

• FortiGuard Labs建议用户遵循最佳实践并实施零信任安全，确保最小化影响并严格限制敏感数据访问
• FortiGuard Labs阻止访问与攻击活动相关的恶意域名、C2服务器或钓鱼网站
• FortiGuard Labs已阻止所有已知关联的威胁指标（IOCs），团队持续监控新的IOCs
• 怀疑遭受入侵的组织可联系FortiGuard事件响应团队，获取快速调查和修复支持

附加资源

Google威胁情报组、Bleeping Computer、Security Week、Salesloft、ic3.gov-CSA