8月底Salesloft Drift供应链攻击事故爆发,导致有许多采用此对话式营销与客户互动工具的企业组织,例如安全企业Cloudflare、PaloAltoNetworks、Zscaler,他们的云计算CRM系统Salesforce面临数据外流的危机,Salesloft与Salesforce两家公司也撤销Drift所有的凭证,并自Salesforce AppExchange应用程序市场下架该应用程序,介入调查的Google威胁情报团队(GTIG)与安全企业Mandiant也透露初步调查结果,黑客组织UNC6395自8月8日开始窃取Drift的OAuth凭证,而能从多家企业截取Salesforce存放的客户数据,如今这起事故的调查出现新的进展。
9月7日Salesloft披露更多调查结果,指出黑客从今年的3月至6月,试图访问该公司的GitHub存储库,从而能从中下载数据、添加访客用户,甚至创建工作流程。这段期间,黑客也试图在Salesloft与Drift的环境其中进行侦察,最终他们入侵Drift使用的AWS环境,窃得Drift客户的OAuth凭证,从客户的环境访问经过Drift集成的数据。
发现遭到网络攻击之后,Salesloft随即采取多项应变措施,遏止及根除相关活动。其中,他们隔离了Drift基础设施、应用程序,以及程序代码,从市场下架应用程序,并轮替受影响的金𬬭。
而对于Salesloft自己本身的应用环境其中,该公司也同样轮替了密钥,根据黑客手法强化防护,利用Mandiant威胁情报平台分析事件相关的高风险身份,以及规避公司安全管控的活动,判断是否仍有潜在危险,并进行威胁猎捕工作。
值得留意的是,8月28日GTIG与Mandiant指出,有部分GoogleWorkspace企业用户受到影响,根据SaaS安全企业NudgeSecurity的调查,估计至少有超过750家企业组织受到影响,后续发展有待进一步关注。
