ShinyHunters 声称通过 Drift 攻击窃取 15 亿条 Salesforce 记录-安全KER

勒索组织 ShinyHunters 宣称，他们通过被攻陷的 Salesloft Drift OAuth 令牌，从 760 家公司的 Salesforce 实例中窃取了 超过 15 亿条记录。

过去一年，攻击者利用社会工程学和恶意 OAuth 应用，持续针对 Salesforce 客户实施数据窃取攻击。他们入侵 Salesforce 系统并下载数据，随后以公开泄露为威胁向企业勒索赎金。

这些攻击事件被声称由 ShinyHunters、Scattered Spider 和 Lapsus$ 勒索组织成员实施，他们现在自称为 “Scattered Lapsus$ Hunters”。谷歌将其跟踪为 UNC6040 和 UNC6395。

今年 3 月，其中一名攻击者入侵了 Salesloft 的 GitHub 仓库，该仓库包含公司的私有源代码。

ShinyHunters 向 BleepingComputer 透露，黑客使用 TruffleHog 安全工具扫描源代码中的敏感信息，结果发现了 Salesloft Drift 和 Drift Email 平台的 OAuth 令牌。

Salesloft Drift 是一款第三方平台，用于将 Drift AI 聊天代理与 Salesforce 实例连接，使企业能够将对话、潜在客户和支持案例同步至 CRM 系统。Drift Email 则用于管理邮件回复，组织 CRM 和营销自动化数据库。

利用这些被盗的 Drift OAuth 令牌，ShinyHunters 声称攻击者从 760 家公司的 Salesforce “Account”“Contact”“Case”“Opportunity”“User” 表中窃取了约 15 亿条数据：

Account：约 2.5 亿条
Contact：约 5.79 亿条
Opportunity：约 1.71 亿条
User：约 6000 万条
Case：约 4.59 亿条

其中，Case 表存储的是客户提交的支持工单信息和文本，对科技公司来说，其中可能包含高度敏感的数据。

为证明其攻击行为，黑客分享了一份文本文件，列出了在被攻陷的 Salesloft GitHub 仓库中的源代码文件夹。

BleepingComputer 就这些数据数量及受影响公司规模向 Salesloft 发去询问，但未收到回复。不过，一位消息人士证实了数字的准确性。

谷歌威胁情报（Mandiant）表示，攻击者还会分析被盗的 Case 数据，寻找潜藏的敏感信息（如凭证、认证令牌和访问密钥），以便进一步入侵其他环境。

谷歌解释说：

“数据外泄后，攻击者会在其中搜索可用于破坏受害者环境的敏感信息。”
“GTIG 观察到 UNC6395 针对的敏感凭证包括 AWS 访问密钥（AKIA）、密码，以及与 Snowflake 相关的访问令牌。”

这些被盗的 Drift 与 Drift Email 令牌，被用于大规模数据窃取活动，受害者包括：Google、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks 等知名企业。

由于攻击规模巨大，FBI 近日发布通告，警告 UNC6040 和 UNC6395 的威胁活动，并共享了在攻击中发现的 IOC（入侵指示器）。

上周四，自称属于 Scattered Spider 的攻击者在 Telegram 上表示，他们计划“消失”，不再公开讨论行动。

在告别声明中，攻击者还声称已入侵 **谷歌执法数据请求系统（LERS）**和 FBI eCheck 背景调查平台。

BleepingComputer 就此联系了谷歌。谷歌确认，在其 LERS 系统中确实有一个伪造账号被创建。
谷歌回应称：