为者在多个 Salesforce 对象中执行 SOQL（Salesforce 对象查询语言）查询时，展现出了高超的运营安全意识。

核心要点

1. UNC6395 利用遭泄露的 Salesloft Drift OAuth 令牌访问 Salesforce 实例。
2. 从 Salesforce 数据中窃取了 AWS 密钥、Snowflake 令牌及密码。
3. 所有 Drift 令牌已被吊销，各机构必须轮换相关凭据。

此次活动是一种典型的供应链攻击手段，攻击者利用了 Salesforce 实例与集成第三方应用之间的信任关系。 UNC6395 借助合法的 OAuth 认证机制获取未授权访问权限，绕过了传统安全控制措施，这使得受影响机构的检测工作变得格外困难。

OAuth 令牌滥用

谷歌威胁情报团队（Google Threat Intelligence Group）报告称，该威胁行为者利用从 Salesloft Drift 应用获取的泄露 OAuth 访问令牌与刷新令牌，对目标 Salesforce 实例进行身份验证。

此攻击手段利用了 OAuth 2.0 授权框架的特性 —— 该框架允许第三方应用在不直接暴露用户凭据的情况下访问 Salesforce 数据。

UNC6395 执行了系统性的 SOQL 查询，对 “案例”（Cases）、“客户账户”（Accounts）、“用户”（Users）、“销售机会”（Opportunities）等关键 Salesforce 对象进行枚举与数据提取。

该行为者展现出了技术专业性：在窃取数据前，会先运行 COUNT 查询来评估数据量规模。

攻击者从 Salesforce 实例中窃取数据

Salesloft 方面表示，攻击者专门针对存储在 Salesforce 自定义字段与标准对象中的敏感认证资料，重点窃取了 AWS 访问密钥（以 “AKIA” 为标识）、密码、Snowflake 凭据及其他敏感认证材料。

数据窃取后的分析显示，该行为者会在提取的数据中搜索符合凭据格式的内容 —— 这表明其主要目标是窃取凭据，而非传统意义上的数据窃取。

缓解措施

Salesforce 与 Salesloft 已于 2025 年 8 月 20 日吊销了与 Drift 应用关联的所有活跃 OAuth 令牌，从根本上切断了这一攻击途径。

随后，Drift 应用已从 Salesforce AppExchange（应用市场）下架，等待全面的安全审查。

使用 Salesloft Drift 集成功能的机构应立即采取以下多项补救措施：

1. 审查事件监控日志（Event Monitoring logs），排查与 Drift 关联应用相关的可疑 UniqueQuery 事件及认证异常。
2. 安全团队需使用 TruffleHog 等工具扫描 Salesforce 对象，查找暴露的机密信息，重点搜索包含 “AKIA”“snowflakecomputing [.] com” 的内容及通用凭据相关标识。
3. 立即加强关联应用（Connected app）的权限管控：通过限制权限范围、设置 IP 地址限制、落实最小权限原则来加固安全。
4. 从用户配置文件中移除 “API 启用”（API Enabled）权限，仅通过权限集（Permission Sets）向授权人员选择性授予该权限。
5. 优化会话设置（Session Settings）中的会话超时配置，缩短泄露凭据的暴露窗口。

此次事件凸显了保障第三方集成安全的关键意义，同时也表明：对于有权访问企业敏感数据仓库的 OAuth 授权应用，必须实施持续监控。