2025年8月初至中旬,一场由名为UNC6395的高级持续性威胁组织实施的网络攻击,在全球范围内成功渗透了超过700家企业的核心系统,却令人震惊的是,这场攻击并未直接针对每家受害企业的网络安全防线,而是通过一个单一的第三方应用集成点发起,完成了跨企业的供应链式侵害。此次事件的核心载体是Salesloft旗下的Drift平台,一款面向企业销售团队的人工智能聊天助手,主要帮助企业将网站访客转化为潜在客户。正是Drift平台与客户Salesforce数据库的深度集成,使得攻击者得以绕过传统安全防护,非法获得了大量关键凭据和敏感数据。OAuth令牌的便利性成了黑客得手的"金钥匙"OAuth作为一种被广泛接受的授权协议,本意在于提升应用间的交互效率,避免密码泄露风险。通过OAuth令牌,Drift能够无缝访问企业的Salesforce实例,实时同步销售线索、客户资料和支持案例,极大优化销售流程和客户管理体验。然而,这些令牌多为长期有效且持续认证状态,给恶意攻击者提供了长期且隐秘的访问渠道。
一旦攻击者窃取到这些令牌,即意味着他们拥有了与受信服务等同的权限,能够直接对企业数据库执行查询或操作,且避免了多因素认证等额外安全检查。UNC6395正是利用了这一点,以精确且隐蔽的方式展开数据侦察和提取。精密策划的横向渗透与数据窃取从初期侵入开始,攻击者通过简单的数据库查询评估环境规模,随后有针对性地搜索诸如AWS访问密钥、Snowflake数据库凭证、VPN密码以及包含"password"、"secret"、"key"等关键词的敏感信息,集中收割对后续入侵其他系统至关重要的认证材料。值得关注的是,攻击并非盲目窃取大量数据,而是以极高的效率和定向性,减少触发警报的风险,同时采用多云环境中的托管服务与Tor出口节点混合操作,确保匿名性和持久隐蔽性。此次事件暴露企业云端生态多层融合的安全盲区现代企业普遍依赖多款云端SaaS工具实现业务流程自动化和数字化转型,如Salesloft Drift就涵盖了包括客户关系管理、分析、市场自动化和销售工具在内的58个应用集成点。每个集成都带来了新的安全入口和潜在威胁面。
最初发现事件焦点仅指向Salesforce集成,但调查随即揭示,攻击者同样滥用Drift与Google Workspace邮件系统的集成令牌,进一步扩大了入侵波及范围,威胁变得更加严重和棘手。这反映出现代企业安全架构未能适应分布式、多应用环境中非人类身份的复杂管理。而传统安全系统,设计初衷注重识别未经授权的人类登录行为,却对合法授权身份间的异常活动监控不足,尤其是"永远在线"的OAuth令牌无法被有效跟踪,导致持续十余天的隐形数据外泄。企业安全防护创新与挑战并存此次攻击事件无疑推动了业界对非人类身份管理和云集成安全的高度关注。多家受影响企业和安全厂商开始重新审视OAuth令牌生命周期管理、权限最小化原则及动态访问监控技术。针对攻击暴露的问题,Salesloft和Salesforce紧急召回并撤销了所有Drift相关的OAuth令牌,Google也针对邮件集成采取了相应措施。
然而,受害企业依然面临漫长且复杂的安全核查和凭证更新工作,甚至在某些情况下难以全面掌握影子IT和集成应用的实际访问权限,这昭示了企业数字资产安全管理能力的显著短板。面对这种分布式多应用生态,安全团队需要革新风险评估方法,在传统以用户为中心的防御模型之外,融入对自动化非人类应用身份的持续审计策略。进一步,人工智能日益深度融合企业服务中,推动了业务智能和效率的飞跃,但也极大增加了攻击面复杂度,促使安全防御必须更具前瞻性和灵活性。供应链安全已成为网络安全新高地UNC6395利用供应链共生生态的攻击思路体现了一种经济且高回报的网络犯罪新趋势 - - 通过攻破单一供应商或应用,迅速扩散至其庞大用户群体,以实现放大攻击影响力。这种打法打破了传统单点防御理念,使得风险管理从单一应用或供应商安全转向整个生态链的深度融合防护。最新安全研究建议企业应全面梳理应用集成链路,强化跨平台权限隔离,推行细粒度访问控制体系,并借助行为分析技术实现针对非人类身份的异常访问检测。
同时,加强与供应商和合作伙伴的安全协同,提升供应链整体韧性和响应速度。从长远看,企业应将供应链安全纳入核心战略,重新定义数字化安全治理框架,以适应云原生和多应用时代的深刻变革。总结这场影响700余家企业的网络安全风暴,不仅彰显了中国高级黑客组织UNC6395的高度专业水平和对企业架构的深入理解,也揭示了现代企业在业务集成和安全便利之间的矛盾。OAuth令牌这种设计上的便利,既是推动云生态发展的关键,又成为攻击者得以无声渗透的重要工具。企业需要从战略高度重视非人类身份安全,持续优化访问权限管理和监控手段,同时革新供应链安全治理思路。只有如此,才能在不断升级的网络威胁面前筑牢防线,保障数据资产和业务连续性,抵御未来愈发复杂多变的网络安全挑战。
。
