Salesforce安全警报后Gainsight扩大受影响客户名单,新型勒索软件平台浮出水面
Gainsight扩大受影响客户名单(Salesforce安全警报后续)
Gainsight披露近期针对其应用程序的可疑活动影响范围较此前预期更广。该公司表示Salesforce最初提供了3家受影响客户名单,但截至2025年11月21日已"扩展至更长的名单"。虽未透露具体受影响客户数量,但其CEO Chuck Ganapathi称"目前仅知少数客户数据受影响"。
事态发展源于Salesforce检测到与Gainsight发布应用程序相关的"异常活动",促使公司撤销所有相关访问权限和刷新令牌。本次入侵事件已被著名网络犯罪组织ShinyHunters(又名Bling Libra)认领。
多家企业已采取预防措施控制事件影响:
- Zendesk、Gong.io和HubSpot暂停Gainsight集成
- 谷歌禁用包含gainsightcloud[.]com回调URI的OAuth客户端
- HubSpot确认其基础设施及客户未发现受损证据
受影响产品清单
Gainsight在FAQ中列出暂时无法从Salesforce读写数据的产品:
- Customer Success (CS)
- Community (CC)
- Northpass - Customer Education (CE)
- Skilljar (SJ)
- Staircase (ST)
公司强调Staircase实际未受影响,Salesforce出于谨慎在调查期间移除了连接。
入侵指标与时间线
Salesforce和Gainsight已发布相关入侵指标(IoCs),其中用户代理字符串"Salesforce-Multi-Org-Fetcher/1.0"曾被用于Salesloft Drift活动。
根据Salesforce信息:
- 首次侦察活动始于2025年10月23日(IP:3.239.45[.]43)
- 后续侦察和未授权访问始于11月8日
安全防护建议
客户应采取以下防护措施:
- 轮换S3存储桶访问密钥及BigQuery、Zuora、Snowflake等连接器
- 直接登录Gainsight NXT(非通过Salesforce)
- 重置非SSO认证用户的NXT密码
- 重新授权依赖用户凭证/令牌的关联应用
新型勒索软件威胁
事件背景涉及名为ShinySp1d3r的新型勒索软件即服务平台,由Scattered Spider、LAPSUS$和ShinyHunters(SLSH)联合开发。ZeroFox数据显示该犯罪联盟过去一年至少发起51次网络攻击。
ShinySp1d3r具备独特功能:
- 挂钩EtwEventWrite函数阻止Windows事件查看器记录
- 通过迭代进程终止阻止文件加密的进程
- 写入.tmp文件随机数据填充磁盘空间(可能覆盖已删除文件)
- 搜索开放网络共享进行加密,通过deployViaSCM/WMI/GPO在本地网络传播
据Brian Krebs报道,勒索软件发布者"Rey"(真名Saif Al-Din Khader)是SLSH核心成员,曾担任BreachForums和HellCat勒索软件数据泄露网站管理员。Rey称ShinySp1d3r是基于AI工具修改的HellCat重构版本,且自2025年6月一直与执法部门合作。
Palo Alto Networks Unit 42研究员Matt Brady指出:"RaaS与勒索即服务结合使SLSH成为强大威胁,他们通过多种方法从入侵操作中获利。内部人员招募要素更增加了企业防御难度。"
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号