场景:2026年6月,攻击者利用某AI SaaS平台0day漏洞,成功入侵其后台并窃取客户密钥。该平台9家网络安全公司客户因此发生数据泄露,影响范围包括内部代码库与客户PII。
攻击 / 事件时间线
初始访问:0day利用
攻击者发现该AI公司API网关存在未修复的路径穿越漏洞(CVE-2026-XXXX),结合JWT伪造技术,绕过认证直接访问了内部管理后台的敏感接口。利用该漏洞,成功提取了所有企业客户的API密钥与OAuth令牌。
Burp Suite自定义PoC脚本
横向移动与凭证窃取
凭借窃取的API密钥,攻击者登录了其中一家网安公司的GitHub企业版,并利用SSH密钥从CI/CD流水线中反向提取了AWS IAM临时凭证。随后,攻击者通过AWS Systems Manager Session Manager进入生产环境,横向移动到RDS数据库,导出包含员工私聊数据的聊天记录表。
GitHub CLIAWS CLISession Manager
数据窃取与二次攻击
攻击者打包下载了从该网安公司窃取的YARA规则库、威胁情报数据以及客户部署清单。随后,利用这些情报对另外8家网安公司发起精准钓鱼攻击,以窃取的高管邮件模板伪造IT通知,成功诱使多位运维人员点击恶意链接,从而横向渗透至其余公司内网。
7-ZipEvilginxCobalt Strike
蓝队视角 · 发现与处置
事件由AI公司首先发现异常API调用频率告警触发。该公司SOC通过分析CloudTrail日志,定位到异常IAM角色调用,结合GitHub Audit Log发现大量仓库被clone。蓝队立即吊销所有泄露密钥,阻断外部访问,并启动事件响应流程。通过关联分析,确认共9家网安公司受影响,第一时间通知客户并协助内部取证与清除后门。
涉及关键技术 / 工具
路径穿越与JWT伪造API密钥与OAuth令牌窃取供应链钓鱼攻击与凭证复用
防护经验总结
- 1. 强制实施API密钥轮换机制,对所有外部API请求进行严格的源IP与UA校验,并部署API Gateway进行流量检测。
- 2. 在GitHub等代码托管平台启用Secret Scanning,并配置基于行为的告警规则,防止凭证被批量导出。
- 3. 建立供应链安全清单,定期审查第三方服务的接入权限,对SaaS客户实施最小权限原则和严格的访问审计。
#供应链攻击#0day利用#数据泄露#云安全#钓鱼攻击