index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
近期,攻击者入侵Salesloft的Drift应用,窃取OAuth令牌,成功获取了Palo Alto Networks、Zscaler和Cloudflare等顶级网络安全公司Salesforce实例的访问权限。攻击被归因于威胁组织GRUB1(UNC6395),与ShinyHunters有关联。攻击者利用异步Python库和Salesforce Bulk API高效窃取数据,并实施反取证技术掩盖踪迹。此次事件凸显了供应链攻击的危险性,即使是安全巨头也难以完全防范。
🔍 攻击者入侵Salesloft的Drift应用,窃取OAuth令牌和刷新令牌,成功获取了多家顶级网络安全公司Salesforce实例的访问权限。
📊 攻击者利用异步Python库和Salesforce Bulk API高效窃取数据,包括Account、Contact、Case和Opportunity等对象,并在短时间内完成大规模数据窃取。
🚫 攻击者实施了反取证技术,包括删除查询作业记录和使用多个IP地址进行操作,以掩盖其攻击痕迹。
🎯 攻击目标包括Palo Alto Networks、Zscaler和Cloudflare等网络安全行业的领军企业,凸显了供应链攻击的危险性和复杂性。
🔐 安全巨头建议采取多层次防御策略,包括第三方应用风险管理、OAuth授权安全增强、高级监控与检测,以及事件响应准备。
原创 威胁情报中心 2025-09-05 10:08 北京
近期公开了一起供应链攻击,攻击者通过入侵Salesloft的Drift窃取OAuth令牌,成功获取多家顶级网络安全公司Salesforce实例的访问权限。这次攻击被归因于威胁组织GRUB1(UNC6395),与ShinyHunters有关联
执行摘要
2025 年 8 月,一起精心策划的供应链攻击震惊了网络安全行业,攻击者通过入侵 Salesloft 的 Drift 应用程序,窃取 OAuth 令牌,成功获取了多家顶级网络安全公司 Salesforce 实例的访问权限。这次攻击被归因于高级威胁组织 GRUB1(又称 UNC6395),与臭名昭著的 ShinyHunters 有关联。攻击者展示了高度的技术熟练度,利用异步 Python 库和 Salesforce Bulk API 执行高效率的数据窃取,同时实施反取证技术掩盖踪迹。最令人担忧的是,这次攻击的目标包括 Palo Alto Networks、Zscaler 和 Cloudflare 等网络安全行业的领军企业,这些公司本应是防御此类威胁的专家。本报告基于这三家安全巨头发布的官方分析,深入剖析了攻击者的战术、技术和程序(TTPs),揭示了 SaaS 生态系统中 OAuth 集成的安全风险,并提供了针对此类供应链攻击的多层次防御策略。事件时间线:从入侵到公开披露
Salesloft Drift 供应链攻击时间线
日期
事件
2025 年 8 月 8 日攻击活动开始,威胁行为者开始利用 Salesloft Drift 漏洞窃取 OAuth 令牌
2025 年 8 月 9 日Cloudflare 首次发现 GRUB1 组织尝试验证客户 API 令牌2025 年 8 月 12 日攻击者使用被盗凭证访问 Cloudflare 的 Salesforce 租户,开始枚举 Salesforce 环境中的所有对象
2025 年 8 月 13 日攻击者开始窃取 Salesforce 案例对象中的客户数据
2025 年 8 月 14 日攻击者深入了解 Salesforce 环境,分析案例工作流
2025 年 8 月 16 日GRUB1 重新登录 Cloudflare 的 Salesforce 租户,准备最终操作2025 年 8 月 17 日攻击者完成最终数据窃取,并尝试通过删除 API 作业掩盖踪迹
2025 年 8 月 18 日攻击活动结束
2025 年 8 月 20 日Salesloft 撤销所有客户的 Drift-to-Salesforce 连接2025 年 8 月 23 日PagerDuty 首先公开确认受到影响2025 年 8 月 27 日Google 威胁情报组披露 UNC6395 攻击活动2025 年 8 月 28 日Google 扩大披露范围,警告所有 Drift 集成都可能受到影响2025 年 8 月 30 日Zscaler 通过其 CISO Sam Curry 发布博客确认受到影响2025 年 9 月 2 日Palo Alto Networks 和 Cloudflare 发布详细的事件分析报告上表展示了此次攻击的完整时间线,从 8 月 8 日的初始入侵到 9 月 2 日的公开披露。值得注意的是,Cloudflare 在 8 月 9 日就首次发现了 GRUB1 组织的可疑活动,这比实际攻击其系统的时间还要早三天。攻击活动持续了约 10 天,而从攻击结束到公开披露之间,各受影响组织进行了深入调查和响应。攻击者分析:GRUB1/UNC6395 的战术与动机
攻击者被 Cloudflare 的威胁情报团队 Cloudforce One 归类为"GRUB1",与 Google 威胁情报组追踪的 UNC6395 活动相符,并与 ShinyHunters 有部分重叠。这个组织展现了高度的技术能力和耐心,其攻击特点包括:精确的目标选择:专门针对高价值目标,包括多家顶级网络安全公司高级的技术手段:使用开源密钥扫描工具 Trufflehog 进行侦察,利用异步 Python 库和 Salesforce Bulk API 进行高效数据窃取谨慎的操作安全:使用多个 IP 地址(包括 AWS 和 DigitalOcean 基础设施)进行操作,并删除查询作业以掩盖踪迹明确的情报收集目标:主动扫描获取的数据寻找凭证,意图进一步扩大攻击范围或准备后续攻击攻击者的主要动机似乎是获取敏感凭证和商业情报,这些可能被用于进一步的攻击或出售给其他威胁行为者。Cloudflare 警告称,攻击者可能利用收集的凭证和客户信息对数百个受影响组织的客户发起针对性攻击。攻击链条深度剖析:从 OAuth 窃取到数据泄露
Salesloft Drift 供应链攻击链条分析
整个攻击活动过程可以分为初始入侵、访问验证、侦察阶段、数据窃取、痕迹清除、后续利用六个阶段。初始入侵阶段:入侵 Salesloft Drift 平台、窃取 OAuth 令牌和刷新令牌访问验证阶段:验证窃取的 OAuth 令牌有效性、获取对受害者 Salesforce 实例的访问权限侦察阶段:枚举 Salesforce 环境中的所有对象、分析案例工作流和数据结构、确认生产环境并评估数据量数据窃取阶段:利用 Salesforce Bulk API 2.0 执行大规模数据提取、主要窃取 Account/Contact/Case/Opportunity 对象数据痕迹清除阶段:删除查询作业记录以掩盖活动痕迹、使用多个 IP 地址进行操作以分散追踪后续利用阶段:扫描窃取的数据寻找凭证、可能利用获取的信息进行进一步攻击此次攻击展示了一个精心设计的多阶段攻击链,从初始入侵到后续利用,每个环节都经过周密计划。初始入侵与 OAuth 令牌窃取攻击始于 Salesloft Drift 平台的入侵,攻击者成功窃取了与 Salesforce 集成的 OAuth 令牌和刷新令牌。这一阶段展示了供应链攻击的典型特征,即通过攻击一个上游供应商来获取对多个下游客户的访问权限。侦察与环境映射获取访问权限后,攻击者展开了系统性的侦察活动:使用 Trufflehog 等工具验证窃取的令牌有效性枚举 Salesforce 环境中的所有对象分析案例工作流和数据结构确认生产环境并评估数据量Cloudflare 的日志显示,攻击者花费数小时进行全面侦察,包括计算账户、联系人和用户数量,分析案例工作流,以及通过指纹识别 Organization 对象确认生产环境。数据窃取与渗透在完成侦察后,攻击者开始有针对性地窃取数据:利用 Salesforce Bulk API 2.0 执行高效率的数据提取主要针对 Account、Contact、Case 和 Opportunity 等 Salesforce 对象在短短三分钟内完成大规模数据窃取Unit 42 的分析表明,攻击者从各种 Salesforce 对象中大规模窃取敏感数据,包括 Account、Contact、Case 和 Opportunity 记录。反取证与痕迹清除攻击者展示了成熟的反取证技术:删除查询作业记录以掩盖活动痕迹使用多个 IP 地址进行操作以分散追踪Cloudflare 记录显示,攻击者在完成数据窃取后立即尝试通过删除 API 作业掩盖踪迹,这表明他们非常了解 Salesforce 的日志和审计机制。受影响公司分析:安全巨头如何成为受害者
公司
受影响时间
泄露数据类型
响应措施
披露时间
特别发现
Palo Alto Networks8 月 8 日至 18 日商业联系信息、内部销售账户和客户相关基本案例数据
断开供应商与 Salesforce 环境的连接,启动 Unit 42 安全团队全面调查
9 月 2 日确认事件仅限于 CRM 平台,产品和服务未受影响
Zscaler8 月 8 日至 18 日商业联系信息(姓名、邮箱、职位、电话)、地区信息、产品许可、商业信息、部分支持案例纯文本内容
撤销 Salesloft Drift 对 Salesforce 数据的访问权限,轮换 API 访问令牌,启动详细调查
8 月 30 日明确表示泄露内容不包括附件、文件和图像
Cloudflare8 月 12 日至 17 日客户联系信息、支持案例数据、可能包含敏感信息的客户支持交互内容
发现并轮换 104 个泄露的 API 令牌,断开 Salesloft 连接,实施最小权限原则
9 月 2 日将攻击归因于 GRUB1 组织,提供了详细的攻击时间线和 TTPs 分析
上表对比了三家主要受影响公司的情况。值得注意的是,尽管这些公司都是网络安全领域的领军企业,但它们仍然成为了此次供应链攻击的受害者。这一事实凸显了供应链攻击的危险性和复杂性,即使是最具安全意识的组织也难以完全防范。Palo Alto Networks 的案例分析
Palo Alto Networks 确认攻击者获取了其商业联系信息、内部销售账户和客户相关基本案例数据。公司迅速断开了供应商与 Salesforce 环境的连接,并由 Unit 42 安全团队启动了全面调查。Unit 42 的分析为整个安全社区提供了宝贵的威胁情报,包括详细的攻击者 TTPs 和建议的缓解措施。Zscaler 的案例分析
Zscaler 通过其 CISO Sam Curry 的博客确认受到影响,泄露的数据包括商业联系信息、地区信息、产品许可、商业信息以及部分支持案例的纯文本内容。Zscaler 明确表示泄露内容不包括附件、文件和图像,并采取了一系列响应措施,包括撤销 Salesloft Drift 的访问权限和轮换 API 令牌。Cloudflare 的案例分析
Cloudflare 提供了最详细的事后分析,包括精确的攻击时间线和攻击者 TTPs。公司确认攻击者在 8 月 12 日至 17 日期间入侵并窃取了其 Salesforce 租户中的数据。Cloudflare 发现并轮换了 104 个泄露的 API 令牌,同时将攻击归因于 GRUB1 组织。ShinyHunters/UNC6395 威胁组织深度分析
GRUB1 与 UNC6395 的身份确认
多个安全媒体报道明确指出 GRUB1 和 UNC6395 是同一个威胁组织的不同代号。The Hacker News 在《Salesloft Drift OAuth 令牌窃取事件》报告中明确表示:"这一活动被归因于一个被称为 UNC6395(又名 GRUB1)的威胁集群"。同样,The Register 的报告也证实了这一点,指出:"Cloudflare 还将责任归咎于一个它追踪为 GRUB1 的威胁组织,安全主管表示这与 Google 威胁情报组追踪的 UNC6395 活动一致"。与 ShinyHunters 的关联
GRUB1/UNC6395 与另一个知名威胁组织 ShinyHunters 存在关联。The Register 的报告指出,GRUB1/UNC6395"与 ShinyHunters 有部分重叠"。组织概述与演变历程
ShinyHunters 是一个臭名昭著的网络犯罪组织,自 2020 年 4 月首次出现以来,已成为数据窃取和勒索活动领域的主要威胁行为者。该组织名称的灵感来源于宝可梦游戏中的"闪亮"角色,正如宝可梦玩家在游戏中狩猎和收集"闪亮"角色一样,ShinyHunters 专注于收集和转售用户数据。根据 Google 威胁情报组(GTIG)和 Mandiant 的追踪,ShinyHunters 与多个威胁行为者代号相关联,包括 UNC6040、UNC6240 和最近的 UNC6395,这表明该组织可能拥有多个专业分工的子团队或与其他威胁组织有所关联。历史攻击活动分析
ShinyHunters 自 2020 年以来的主要攻击活动可分为三个明显的发展阶段:早期阶段(2020-2021):GitHub 凭证窃取与数据库攻击ShinyHunters 最初的攻击手法主要集中在入侵网站和开发人员存储库,以窃取公司云服务的凭据或 API 密钥。这些凭证随后被用于访问数据库并收集敏感信息,这些信息要么被转售牟利,要么在黑客论坛上免费发布。在这一阶段,ShinyHunters 声称对多起重大数据泄露事件负责,包括:Tokopedia(印度尼西亚最大电子商务平台)Wattpad(全球知名的故事分享平台)Pixlr(在线图像编辑工具)Bonobos(美国男装零售商)BigBasket(印度在线杂货店)Mathway(数学问题解决应用)Unacademy(印度教育科技公司)MeetMindful(约会网站)微软的 GitHub 账户这一时期的一个显著特点是,ShinyHunters 特别关注 DevOps 人员或 GitHub 存储库,以窃取有效的 OAuth 令牌。这些令牌被用于破坏云基础设施并绕过两因素身份验证机制,这说明了该组织对云安全弱点的深刻理解。中期阶段(2022-2024):大规模数据泄露与勒索活动2022 年至 2024 年期间,ShinyHunters 的攻击规模和复杂性显著提升,开始针对更大型的企业和更敏感的数据。2024 年,该组织与 Snowflake 数据泄露事件相关联,该事件影响了多家大型企业,包括 Ticketmaster 和 Santander 银行。Ticketmaster 的数据泄露尤为严重,据报道影响了约 5.6 亿客户,泄露的信息包括姓名、地址、电话号码和部分支付信息。ShinyHunters 要求支付约 40 万英镑的赎金,以防止这些数据被出售到暗网。2024 年 5 月,AT&T 也成为 ShinyHunters 攻击的受害者。黑客入侵了第三方云平台,获取了大量客户数据,包含蜂窝网络和固定电话客户的电话号码,以及长达六个月的通话和短信记录。据报道,AT&T 最终向黑客支付了约 37 万美元,以删除被盗数据。最新阶段(2025):语音钓鱼与 Salesforce 攻击2025 年,ShinyHunters 采用了更为先进的社会工程学攻击手法,特别是针对 Salesforce 平台的语音钓鱼(vishing)攻击。这一阶段的攻击由 Google 威胁情报组追踪为 UNC6040,该组织通过冒充 IT 支持人员,诱骗员工连接恶意修改的 Salesforce Data Loader 应用,进而窃取数据并横向移动至其他云平台。这些攻击的主要特点包括:冒充 IT 支持人员进行电话诱导诱骗员工访问 Salesforce 连接设置页面并输入连接代码将攻击者控制的 Data Loader 应用与受害者的 Salesforce 环境关联使用经过修改的 Data Loader 应用,并将其重命名为"My Ticket Portal"等名称,以增强社会工程攻击的可信度
这一时期的受害者包括多家知名企业:谷歌(确认其 Salesforce 数据库在 6 月份遭到入侵)香奈儿(7 月 25 日发现其托管在第三方服务的美国数据库存在安全事件)阿迪达斯、LVMH 集团旗下的 Louis Vuitton、Dior 和 Tiffany & Co.澳洲航空和安联人寿值得注意的是,ShinyHunters 在这一阶段展现出更为复杂的攻击后行为。他们往往不急于立即勒索,而是对企业"观察"数周甚至数月后,才由其关联的 UNC6240 集团以"ShinyHunters"名义发起勒索,限期支付比特币,否则即公开或出售数据。攻击手法的演变:从 UNC6040 到 UNC6395
ShinyHunters 相关威胁组织的攻击手法经历了明显的演变,从最初的凭证窃取,到语音钓鱼,再到最近的 Salesloft Drift OAuth 令牌窃取攻击。语音钓鱼(UNC6040)攻击流程UNC6040 的攻击流程主要依赖社会工程学技术:初始接触:攻击者冒充 IT 支持人员,通过电话联系目标组织的员工诱导授权:引导受害者访问 Salesforce 连接应用设置页面,批准名称或品牌与正版不同的 Data Loader 应用版本数据窃取:一旦获得授权,攻击者使用 Salesforce Data Loader 应用导出数据,并横向移动至其他云平台如 Okta、Microsoft 365 和 Workplace隐藏踪迹:使用 Mullvad VPN 的 IP 地址以掩盖其活动延迟勒索:在数据外泄数月后才提出勒索要求,进一步施压受害者支付赎金Salesloft Drift 攻击(UNC6395)的技术升级与 UNC6040 的语音钓鱼攻击相比,UNC6395 在 Salesloft Drift 攻击中展示了技术能力的显著提升:供应链攻击:不再针对单个员工进行社会工程学攻击,而是直接入侵 Salesloft Drift 平台,获取大量 OAuth 令牌大规模自动化:能够同时影响多家使用 Salesloft Drift 的企业,据报道影响了超过 700 个组织高效数据窃取:利用窃取的 OAuth 令牌,攻击者能够高效地从各组织的 Salesforce 实例中窃取数据专业的反取证技术:攻击者展示了成熟的反取证技术,包括删除查询作业记录以掩盖活动痕迹,使用多个 IP 地址进行操作以分散追踪这种从社会工程学到技术漏洞利用的转变,表明 ShinyHunters 组织正在不断提升其技术能力和攻击规模。攻击动机与目标选择
ShinyHunters 的主要动机是经济利益,通过以下方式获利:数据销售:在暗网市场上出售窃取的数据直接勒索:向受害组织勒索赎金,以防止数据泄露凭证收集:特别关注 AWS 访问密钥(AKIA)、密码和 Snowflake 相关访问令牌等高价值凭证在目标选择上,ShinyHunters 展现出明确的策略:高价值行业:特别针对金融、零售、航空和科技等行业的知名企业数据丰富的平台:优先攻击存储大量客户数据的 CRM 系统,尤其是 Salesforce 实例安全公司:值得注意的是,ShinyHunters 甚至将网络安全公司作为目标,如 Palo Alto Networks、Zscaler 和 Cloudflare,这可能是为了展示其技术能力或获取这些公司客户的敏感信息与其他威胁组织的关联
ShinyHunters 与其他威胁组织存在复杂的关联关系:与 Scattered Spider 的重叠有证据表明,UNC6040(ShinyHunters)与 Scattered Spider(UNC3944)存在成员重叠,他们在相同的在线社区内进行交流。然而,两个组织的攻击模式有所不同:Scattered Spider 往往会实施全面的网络入侵,最终导致数据窃取,有时甚至会使用勒索软件ShinyHunters 则更倾向于针对特定云平台或 Web 应用程序进行数据窃取勒索攻击与"The Com"的关联Google 威胁情报组观察到 UNC6040 与"The Com"组织的基础设施和战术有重叠。这表明 ShinyHunters 可能是一个更大的网络犯罪生态系统的一部分,或者与其他威胁组织共享资源和技术。与 LAPSUS$的可能联系在 2025 年 8 月,一个自称为"Scattered LAPSUSHunters−ShinyHunters"的组织通过 Telegram 频道公开了针对 SAP 关键漏洞的利用代码。这表明 ShinyHunters 可能与臭名昭著的 LAPSUS 勒索组织有某种关联,或者至少在品牌上借用了其名称以增加威慑力。防御策略与安全建议
基于三家安全公司的经验和建议,我们提出以下多层次防御策略:1. 第三方应用风险管理实施严格的供应商安全评估流程:定期审查所有第三方应用的安全状况和访问权限采用零信任架构:对所有第三方应用实施最小权限原则,限制其访问范围和数据权限定期审计 OAuth 集成:建立自动化机制,定期审查和清理不必要的 OAuth 授权
Cloudflare 建议断开 Salesforce 环境中的所有 Salesloft 连接,并审计所有第三方应用程序,确保它们以最低访问级别运行。2. OAuth 授权安全增强实施短期令牌有效期:将 OAuth 令牌的有效期设置为尽可能短的时间强制定期轮换令牌:建立自动化机制,定期轮换所有 API 密钥和 OAuth 令牌实施条件访问策略:基于设备状态、位置、风险评分等因素限制 OAuth 令牌的使用Zscaler 建议客户轮换 API 访问令牌以确保额外安全,而 Cloudflare 则建议为所有 API 密钥和其他密钥建立定期轮换计划。3. 高级监控与检测部署 API 活动监控:实施专门的解决方案监控 API 调用和 OAuth 令牌使用情况建立异常数据访问检测:设置基线并监控异常的数据访问模式,如大量数据导出关注特定 IOCs:特别关注 Python/3.11 aiohttp/3.12.15 用户代理字符串和可疑 IP 地址Unit 42 建议用户检查从 8 月 8 日开始的登录历史和 API 访问日志,寻找可疑连接、凭证盗窃或数据泄露的迹象。4. 事件响应准备制定供应链攻击响应计划:专门针对第三方供应商安全事件的响应流程建立凭证泄露应对机制:快速识别和轮换可能被泄露的所有凭证准备客户沟通策略:提前准备透明、及时的客户沟通模板和流程Cloudflare 的详细事后分析展示了良好的事件响应实践,包括立即威胁遏制、保护第三方生态系统、保障系统完整性和客户影响分析。结论与行业启示
2025 年 Salesloft Drift 供应链攻击事件为整个网络安全行业敲响了警钟。当三家顶级安全公司都成为受害者时,这清晰地表明没有组织能完全免疫于精心策划的供应链攻击。这次事件的关键启示包括:OAuth 集成是双刃剑:虽然 OAuth 提高了用户体验和集成便利性,但也带来了重大的安全风险,特别是在供应链攻击场景中。第三方风险管理至关重要:组织必须将第三方应用视为其安全边界的延伸,实施严格的评估、监控和访问控制。
反取证技术日益成熟:攻击者不仅具备渗透能力,还能熟练地掩盖踪迹,这使得检测和归因变得更加困难。
行业协作是应对复杂威胁的关键:Palo Alto Networks、Zscaler 和 Cloudflare 的公开披露和详细分析为整个安全社区提供了宝贵的情报和经验教训。
随着组织越来越依赖 SaaS 应用和第三方集成,类似的供应链攻击可能会变得更加普遍。安全团队必须提高警惕,采取全面的安全措施,特别关注 OAuth 令牌管理、第三方应用风险评估和异常数据访问监控,以保护自己免受此类威胁的侵害。最后,这次事件再次证明,即使是最先进的安全公司也可能成为网络攻击的受害者。真正的安全不在于完全避免被攻击,而在于如何检测、响应和从中学习。Cloudflare、Zscaler 和 Palo Alto Networks 的透明披露和详细分析,展示了成熟安全组织应有的责任感和专业态度。点击阅读原文至ALPHA 8.3即刻助力威胁研判阅读原文
跳转微信打开
