防御针对 SaaS 应用程序的 ShinyHunters OAuth 滥用攻击
导语:Microsoft 威胁情报部门披露与 ShinyHunters 攻击组织相关的 OAuth 滥用活动,重点针对 Salesforce 等 SaaS 应用程序,攻击者通过语音钓鱼和供应链攻击获取持久化访问并实施大规模数据外泄。
在 2025 年年中至 2026 年年中期间观察到的一系列攻击活动中,Microsoft 识别出与 ShinyHunters 攻击组织惯用手法重叠的威胁活动,包括语音钓鱼(vishing)以及供应链攻击,其目标主要是 Salesforce 实例等客户 SaaS 应用程序。攻击者滥用受信的 OAuth 关系,以实现未授权访问、数据外泄和持久化驻留。

观察到的两条主要入侵路径包括:针对 OAuth 授权的语音钓鱼技术,以及通过 Salesloft 和 Gainsight 等受信工作流和集成实施的供应链攻击。对这些访问路径的滥用导致用户权限和应用权限被继承,使攻击者能够在规避传统身份验证检测的同时,成功枚举并查询客户关系管理(CRM)记录。这些入侵路径通常会造成持久化访问和大规模数据外泄。该手法表明,单一入口点可以迅速扩大为更广泛的企业级影响。

Microsoft 在来自零售、教育和制造业等多个行业的众多租户中观察到与这些技术相关的活动。这些发现进一步强调了监控 OAuth 连接应用程序、验证第三方集成、审查配置以及启用 Salesforce 事件监控的重要性。利用这些数据,Microsoft 与 Salesforce 协商改进了 Defender for Cloud Apps 的遥测粒度,提供近实时检测,并提供连接应用程序归因及扩展的应用程序权限洞察。需要指出的是,此活动并非源于 Salesforce 本身的漏洞,而是攻击者滥用了受信的 OAuth 关系实施未授权访问、数据外泄和持久化驻留。

在 2025 年年中开始的攻击活动中,攻击者冒充 IT 支持人员实施语音钓鱼攻击,通过社会工程手段诱骗员工在其 Salesforce 租户内授权攻击者控制的连接应用。在多起已确认的案例中,攻击者引导用户完成 OAuth 授权流程,以授权一个伪装成合法 Salesforce Data Loader 工具的恶意应用。用户授予授权后,这些拥有高权限的 OAuth 应用使攻击者能够代表受害用户执行 API 调用,从而促进数据外泄。该入侵路径利用可信 SaaS 服务的 OAuth 授权流程,而非依赖恶意软件或凭据重放。攻击者通过从用户权限继承的合规应用访问来外泄数据。

在初始访问活动之后,攻击者进一步升级为针对提供与 Salesforce 集成的流行解决方案的第三方 SaaS 厂商的供应链驱动攻击,通常使用 OAuth 令牌。2025 年 8 月,遭到泄露的 Salesloft Drift 凭据使攻击者能够获取下游 SaaS 应用程序使用的连接密钥,从而在多个客户的 Salesforce 实例中使用 OAuth 令牌。2025 年 11 月的后续活动则针对与 Salesforce 集成的 Gainsight 发布应用,允许攻击者利用受信的外部连接在多个 Salesforce 客户实例中维持持久化 API 访问。这些活动通常与合法集成行为难以区分。攻击者执行了发现、批量数据查询以及对敏感 CRM 记录的大规模外泄,包括账户、联系人和服务工单数据,且未产生传统的登录异常。最近在 2026 年 6 月,市场情报平台 Klue 发生了一起安全事件,攻击者 Storm-3138 获得了对其系统的访问权限,用于访问 Salesforce 客户实例的凭据以同样的方式被用于发现、查询和外泄数据。

针对使用 Salesforce Shield: Event Monitoring 的客户,升级后的 Microsoft Defender for Cloud Apps Salesforce 连接器接入实时事件监控(RTEM)框架,能够对基于 Salesforce 的攻击进行更快速的检测和调查。对这些活动的调查揭示了安全团队面临的一个反复出现的挑战:由于攻击者通过受信身份、经批准的 OAuth 应用和授权集成进行操作,恶意活动往往与合法 Salesforce 使用行为难以区分。传统的以身份验证为中心的检测通常对由此产生的应用活动提供的可见性有限。

为了改进这些场景下的调查和检测能力,Microsoft 通过增加事件遥测、连接应用程序归因以及增强的应用程序权限洞察,扩展了 Defender for Cloud Apps 中对 Salesforce 的可见性。这些功能可帮助安全团队识别可疑的 OAuth 活动、调查可能遭到入侵的集成,并更好地了解在客户 Salesforce 实例中访问是如何获得以及如何被使用的。结合 Salesforce Shield: Event Monitoring,这些功能可帮助安全团队调查可疑的 OAuth 活动、验证连接应用程序的合法性,并更好地了解潜在入侵的影响范围。

除了改进检测之外,最近的事件还凸显了加强对 OAuth 连接应用程序的预防性控制和持续治理的必要性。为此,Microsoft Defender 为 Salesforce 中的连接和外部客户端应用引入了新的安全态势管理功能。安全团队可以深入查看每个 OAuth 应用及其非人类身份,优先处理风险,并缩小攻击面。Microsoft Defender 提供对所有与 Salesforce 集成的连接和外部客户端应用的全面可见性,包括已授予的 OAuth 范围和权限。安全团队通常难以识别具有强大管理或敏感权限的应用。高权限应用洞察功能突出显示已被授予提升范围的应用,从而快速识别可能带来重大风险的应用。此外,安全团队可以使用基于权限的筛选器来识别具有特定高风险范围的应用,并验证此类访问是否合理。组织通常会创建临时或一次性使用的应用,但这些应用很少在之后被移除。这些未使用的应用持续保留着权限,产生了不必要的暴露面。通过最近的更新,Defender 现在允许安全团队识别长时间处于非活动状态的应用(例如 90 天或更长时间),从而方便地审查并在适当时撤销访问权限,以缩小攻击面。
来源信息
来源:Microsoft Security Blog
作者:Microsoft Security Research and Microsoft Defender Security Research Team

