Chinese hackers breach 700 companies through single Salesforce integration
8 months ago
- #supply-chain-attack
- #OAuth-exploit
- #cybersecurity
- 中国黑客组织UNC6395通过利用Salesforce单一集成点(Salesloft Drift的OAuth令牌)入侵了700多家企业。
- 攻击发生在2025年8月8日至18日期间,通过瞄准受信任的第三方集成,绕过了直接渗透企业网络的步骤。
- 被窃取的OAuth令牌使黑客能够访问包含AWS密钥、Snowflake凭证、VPN密码和客户数据的Salesforce数据库。
- 攻击者表现出高度精准性,使用侦察查询和选择性数据提取,同时逃避检测长达10天。
- 漏洞利用范围从Salesforce扩展到Google Workspace,攻击者通过入侵的邮件集成令牌实现横向移动。
- 企业安全系统未能检测到攻击,因为攻击者使用了合法的认证通道(OAuth令牌)。
- 该事件暴露出SaaS集成和非人类身份管理(OAuth令牌、API密钥)的系统性漏洞。
- 修复工作需要跨平台进行大规模审计、令牌撤销和凭证轮换。
- 此次攻击凸显了通过SaaS集成(而非直接入侵)实现供应链攻击的风险正在加剧。
- 安全框架必须升级以监控非人类身份和复杂的SaaS间连接。