Google揭Salesforce攻擊源自第三方App 廣泛竊取企業資料

Google揭Salesforce攻擊源自第三方App 廣泛竊取企業資料

2025-08-28
科技巨頭Google威脅情報小組(GTIG)27日揭露,一個追蹤為UNC6395的威脅團體透過第三方應用Salesloft Drift的OAuth權杖,發動大規模Salesforce資料外洩攻擊,至少從8月8日至18日,系統性竊取多家企業Salesforce實例中的敏感憑證,包括AWS存取金鑰、密碼及Snowflake權杖。此攻擊與先前ShinyHunters的電話釣魚(vishing)攻擊無關,凸顯第三方整合風險。專家警告,台灣企業廣泛使用Salesforce,需立即審查連結應用,防範資料洩露。
 
 
GTIG研究員在Mandiant部落格文章中指出,UNC6395進行「廣泛資料竊取」活動,利用Salesloft Drift—一款AI驅動的銷售自動化應用,整合Salesforce資料庫—的驗證權杖濫用。該應用用於自動化通訊、分析及客戶互動,但攻擊者藉此系統性匯出大量企業Salesforce資料,專注蒐集敏感憑證。文章描述:「UNC6395匯出大量資料後,搜尋其中機密,可能用於進一步入侵受害環境,然後刪除查詢作業以掩蓋軌跡。」雖然無證據顯示日誌受影響,但GTIG建議組織審查相關日誌,確認資料暴露。
 
 
此攻擊限於整合Salesloft自有解決方案的Salesforce客戶,且無證據直接影響Google Cloud用戶。但GTIG強調,使用Salesloft Drift的Google Cloud客戶應審查Salesforce物件中任何Google Cloud Platform服務帳戶金鑰。「使用Drift整合Salesforce的組織應視其Salesforce資料已遭入侵,並立即採取補救措施。」Salesloft已與Salesforce合作,撤銷所有活躍存取及更新權杖。Salesforce亦從AppExchange移除Drift應用,直至調查完成。GTIG、Salesforce及Salesloft已通知受影響組織。
 
 
此事件與7月至8月多家知名企業—包括Adidas、Pandora、Allianz、Tiffany & Co.、Dior、Louis Vuitton、Workday及Google本身—披露的Salesforce外洩有關。這些企業指第三方平台(據報為Salesforce)遭入侵,ShinyHunters宣稱負責多起攻擊,並以電話釣魚為手段。Google 6月報告,一財務動機威脅團體UNC6040(自稱ShinyHunters)假冒IT支援人員發動電話釣魚,存取Salesforce環境。本月早些,Google披露其Salesforce實例遭UNC6040入侵。
 
 
儘管時間線相似,但GTIG發言人告訴Dark Reading:「我們未見任何證據將UNC6395與UNC6040連結。」兩者入侵手段不同:UNC6395利用第三方App OAuth權杖,UNC6040則靠社會工程。Dark Reading貢獻作家Elizabeth Montalbano報導,此攻擊凸顯Salesforce生態的脆弱性,第三方應用成新攻擊向量。
 
 
為補救,受影響組織應搜尋Salesforce物件中的敏感資訊及機密,採取行動如撤銷API金鑰、輪換憑證,並調查機密是否遭濫用。GTIG提供入侵指標(IOC),包括IP地址及User-Agent字串,建議組織掃描暴露機密,並廣泛搜尋源自Tor出口節點的活動。其他緩解步驟包括審查Salesforce事件監控日誌,檢查Drift連線用戶的異常活動、Drift Connected App的驗證活動,以及UniqueQuery事件記錄的SOQL查詢。
 
 
組織可向Salesforce開立支援案件,取得威脅者使用的特定查詢,並搜尋Salesforce物件中的潛在機密。輪換憑證時,立即撤銷並輪換發現的金鑰或機密、重設密碼,並在會話設定中配置會話逾時值,限制遭入侵會話壽命。強化存取控制,包括確保應用擁有最低必要權限、在連線應用上強制IP限制,並定義登入IP範圍,僅允許信任網路存取。
 
 
台灣資安專家分析,此攻擊對本地企業衝擊重大。Salesforce在台廣泛用於CRM及銷售管理,許多公司整合第三方App如Salesloft。行政院國家資通安全會報表示,將監測類似威脅,並呼籲企業審查OAuth權杖及第三方整合。趨勢科技台灣區總經理洪偉淦受訪時指出:「OAuth權杖濫用成常見漏洞,企業須實施最小權限原則,定期審核連結應用。」他建議台灣用戶檢查Salesforce日誌,啟用多因素認證(MFA),並使用資安工具掃描暴露憑證。
 
 
此事件與近期資安趨勢呼應,如Citrix NetScaler零日漏洞遭攻擊、ClickFix利用AI摘要推播惡意軟體,顯示供應鏈攻擊上升。Google的Anthropic AI用於自動化資料勒索活動、Nevada州機構因網路攻擊關閉,也凸顯全球資安危機。台灣作為科技供應鏈樞紐,易受地緣政治影響,企業若忽視,可能面臨資料外洩、合規罰款或業務損失。
 
 
展望未來,GTIG呼籲產業強化第三方App審核,Salesforce生態需提升OAuth安全。台灣政府可推動雲端資安指引,強制企業報告外洩事件。用戶防範之道包括:定期輪換權杖、監控異常查詢、避免過度整合。隨著AI及雲端普及,資安管理成企業存亡關鍵,此攻擊提醒,信任第三方前須三思。(約1010字)