美國聯邦調查局(FBI)發布緊急警報,指出兩個網路犯罪組織UNC6040和UNC6395正針對企業的Salesforce平台進行大規模資料竊取和勒索攻擊。
攻擊手法與目標
FBI在公告中表示:「這兩個組織近期都被觀察到透過不同的初始存取機制,鎖定企業的Salesforce平台進行攻擊。」兩個組織採用截然不同的攻擊策略,但目標都是竊取企業敏感資料並進行勒索。
UNC6040:社交工程攻擊專家
UNC6040自2024年10月開始活躍,由Google威脅情報團隊首次披露。該組織主要採用語音釣魚(vishing)手法,冒充企業IT支援人員,誘騙員工連接惡意的Salesforce Data Loader OAuth應用程式到公司帳戶。
攻擊者會將應用程式重新命名為「My Ticket Portal」等看似合法的名稱,一旦連接成功,便利用OAuth應用程式大量竊取企業Salesforce資料。這些資料隨後被用於勒索活動,部分案例顯示勒索行為發生在初始資料竊取的數月之後。
UNC6395:利用OAuth令牌漏洞
UNC6395組織則專門針對Salesloft Drift應用程式的OAuth令牌漏洞進行攻擊。今年8月,該組織利用遭到洩露的OAuth令牌,成功入侵多家企業的Salesforce實例。
這起攻擊源於Salesloft公司GitHub帳戶在2025年3月至6月期間遭到入侵,攻擊者藉此獲得Drift OAuth令牌。Salesloft已將Drift基礎設施隔離並使AI聊天機器人應用程式下線,同時實施新的多因子驗證流程。
相關文章:GitHub 帳號遭入侵引發 Salesloft Drift 資安事件,波及 22 家企業
這波攻擊影響眾多知名企業,包括:
- UNC6040受害者:Google、Adidas、澳洲航空、安聯人壽、思科、開雲集團、路易威登、迪奧、蒂芙尼等
- UNC6395受害者:Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys等
值得注意的是,這些攻擊背後的組織關係相當複雜。根據威脅情報分析:
- UNC6040:主要負責入侵和資料竊取的組織,採用社交工程手法突破防線
- UNC6240:專門負責勒索活動,在與受害企業聯絡時聲稱為ShinyHunters組織
- UNC6395:專門利用Salesloft Drift OAuth令牌進行攻擊的獨立組織
- ShinyHunters:一個被多個相關組織使用的品牌名稱,目的在於增加威脅性和勒索壓力
這些組織之間的關係複雜且可能存在重疊,確切的組織結構和成員關係仍然不明確。專家指出,勒索活動往往在初始入侵的數月後才發生,顯示可能存在專業分工的合作模式。
然而,9月12日,與這些攻擊相關的勒索組織「scattered LAPSUS$ hunters 4.0」在Telegram頻道發布聲明:「我們LAPSUS$、Trihash、Yurosh等眾多成員,已決定轉入地下。我們的目標已經達成,現在是時候說再見了。」該組織聲稱由LAPSUS$、Scattered Spider和ShinyHunters等知名駭客組織整合而成。
相關文章:ShinyHunters 鎖定 Salesforce 發動社交工程攻擊 Chanel、Pandora 等知名品牌
專家警告:威脅未消失
資安專家對此解散聲明保持謹慎態度。專家強調,即使公開行動暫停,風險依然存在:被竊資料可能重新浮現、未被檢測的後門可能持續存在,行動者可能以新名義重新出現。
面對此類針對性攻擊,企業應採取以下防護措施:
- 強化OAuth應用程式管理:定期審查連接的第三方應用程式
- 加強員工教育訓練:提高對社交工程攻擊的警覺性
- 實施零信任架構:對所有存取請求進行驗證
- 建立事件回應計畫:確保快速偵測和回應能力
- 定期安全評估:檢查Salesforce環境的安全設定
FBI呼籲受影響的企業立即檢查其Salesforce環境,並實施相應的防護措施,以防範類似攻擊的再次發生。這起事件再次凸顯現代企業面對的威脅不僅來自技術漏洞,更多時候源於人為因素和複雜的組織間協作攻擊模式。
延伸閱讀:Google 證實:Salesloft Drift 資安漏洞擴大 相關整合平台認證令牌應視為已遭駭