近日,自动化销售平台Salesloft确认其与Salesforce集成的Drift聊天代理系统遭到黑客入侵,攻击者窃取了OAuth和刷新令牌,并利用这些令牌访问客户内部环境,实施数据外泄攻击。攻击团伙UNC6395利用Drift与Salesforce的集成接口,于8月8日至18日间执行了窃取敏感凭证的活动,目标包括AWS访问密钥、密码以及Snowflake访问令牌。据报道,不启用Drift-Salesforce集成的用户未受本次事件影响,且目前暂无进一步恶意行为的证据。Salesloft已与Salesforce合作,撤销相关应用的全部访问与刷新令牌,要求客户重新认证并连接账号。
Google威胁情报部门指出,攻击者在渗透成功后通过定制SOQL查询提取支持工单中的认证信息,进一步入侵更多平台,并通过使用Tor和云服务伪装攻击来源。管理者可通过Google发布的可疑IP与User-Agent字符串排查日志以检测潜在威胁。