科技巨頭Google威脅情報小組（GTIG）27日揭露，一個追蹤為UNC6395的威脅團體透過第三方應用Salesloft Drift的OAuth權杖，發動大規模Salesforce資料外洩攻擊，至少從8月8日至18日，系統性竊取多家企業Salesforce實例中的敏感憑證，包括AWS存取金鑰、密碼及Snowflake權杖。此攻擊與先前ShinyHunters的電話釣魚（vishing）攻擊無關，凸顯第三方整合風險。專家警告，台灣企業廣泛使用Salesforce，需立即審查連結應用，防範資料洩露。

 

 

GTIG研究員在Mandiant部落格文章中指出，UNC6395進行「廣泛資料竊取」活動，利用Salesloft Drift—一款AI驅動的銷售自動化應用，整合Salesforce資料庫—的驗證權杖濫用。該應用用於自動化通訊、分析及客戶互動，但攻擊者藉此系統性匯出大量企業Salesforce資料，專注蒐集敏感憑證。文章描述：「UNC6395匯出大量資料後，搜尋其中機密，可能用於進一步入侵受害環境，然後刪除查詢作業以掩蓋軌跡。」雖然無證據顯示日誌受影響，但GTIG建議組織審查相關日誌，確認資料暴露。

 

 

此攻擊限於整合Salesloft自有解決方案的Salesforce客戶，且無證據直接影響Google Cloud用戶。但GTIG強調，使用Salesloft Drift的Google Cloud客戶應審查Salesforce物件中任何Google Cloud Platform服務帳戶金鑰。「使用Drift整合Salesforce的組織應視其Salesforce資料已遭入侵，並立即採取補救措施。」Salesloft已與Salesforce合作，撤銷所有活躍存取及更新權杖。Salesforce亦從AppExchange移除Drift應用，直至調查完成。GTIG、Salesforce及Salesloft已通知受影響組織。

 

 

此事件與7月至8月多家知名企業—包括Adidas、Pandora、Allianz、Tiffany & Co.、Dior、Louis Vuitton、Workday及Google本身—披露的Salesforce外洩有關。這些企業指第三方平台（據報為Salesforce）遭入侵，ShinyHunters宣稱負責多起攻擊，並以電話釣魚為手段。Google 6月報告，一財務動機威脅團體UNC6040（自稱ShinyHunters）假冒IT支援人員發動電話釣魚，存取Salesforce環境。本月早些，Google披露其Salesforce實例遭UNC6040入侵。

 

 

儘管時間線相似，但GTIG發言人告訴Dark Reading：「我們未見任何證據將UNC6395與UNC6040連結。」兩者入侵手段不同：UNC6395利用第三方App OAuth權杖，UNC6040則靠社會工程。Dark Reading貢獻作家Elizabeth Montalbano報導，此攻擊凸顯Salesforce生態的脆弱性，第三方應用成新攻擊向量。

 

 

為補救，受影響組織應搜尋Salesforce物件中的敏感資訊及機密，採取行動如撤銷API金鑰、輪換憑證，並調查機密是否遭濫用。GTIG提供入侵指標（IOC），包括IP地址及User-Agent字串，建議組織掃描暴露機密，並廣泛搜尋源自Tor出口節點的活動。其他緩解步驟包括審查Salesforce事件監控日誌，檢查Drift連線用戶的異常活動、Drift Connected App的驗證活動，以及UniqueQuery事件記錄的SOQL查詢。

 

 

組織可向Salesforce開立支援案件，取得威脅者使用的特定查詢，並搜尋Salesforce物件中的潛在機密。輪換憑證時，立即撤銷並輪換發現的金鑰或機密、重設密碼，並在會話設定中配置會話逾時值，限制遭入侵會話壽命。強化存取控制，包括確保應用擁有最低必要權限、在連線應用上強制IP限制，並定義登入IP範圍，僅允許信任網路存取。

 

 

台灣資安專家分析，此攻擊對本地企業衝擊重大。Salesforce在台廣泛用於CRM及銷售管理，許多公司整合第三方App如Salesloft。行政院國家資通安全會報表示，將監測類似威脅，並呼籲企業審查OAuth權杖及第三方整合。趨勢科技台灣區總經理洪偉淦受訪時指出：「OAuth權杖濫用成常見漏洞，企業須實施最小權限原則，定期審核連結應用。」他建議台灣用戶檢查Salesforce日誌，啟用多因素認證（MFA），並使用資安工具掃描暴露憑證。

 

 

此事件與近期資安趨勢呼應，如Citrix NetScaler零日漏洞遭攻擊、ClickFix利用AI摘要推播惡意軟體，顯示供應鏈攻擊上升。Google的Anthropic AI用於自動化資料勒索活動、Nevada州機構因網路攻擊關閉，也凸顯全球資安危機。台灣作為科技供應鏈樞紐，易受地緣政治影響，企業若忽視，可能面臨資料外洩、合規罰款或業務損失。

 

 

展望未來，GTIG呼籲產業強化第三方App審核，Salesforce生態需提升OAuth安全。台灣政府可推動雲端資安指引，強制企業報告外洩事件。用戶防範之道包括：定期輪換權杖、監控異常查詢、避免過度整合。隨著AI及雲端普及，資安管理成企業存亡關鍵，此攻擊提醒，信任第三方前須三思。（約1010字）