勒索集團 ShinyHunters 聲稱透過被盜用的 Salesloft Drift OAuth 權杖,從 760 家公司竊取了超過 15 億筆 Salesforce 資料記錄。這些威脅行為者過去一年來持續針對 Salesforce 客戶發動資料竊取攻擊,利用社交工程和惡意 OAuth 應用程式入侵系統並下載資料,隨後用竊取的資料勒索公司支付贖金。
攻擊始於今年三月,駭客入侵了 Salesloft 的 GitHub 程式碼儲存庫,竊取該公司的私有原始碼。攻擊者使用 TruffleHog 安全掃描工具分析原始碼,發現了 Salesloft Drift 和 Drift Email 平台的 OAuth 憑證金鑰。Salesloft Drift 是將 Drift AI 聊天機器人與 Salesforce 系統連接的第三方整合平台,可同步對話內容、潛在客戶資料及客服案例至客戶關係管理系統(CRM)。
延伸閱讀:ShinyHunters 鎖定 Salesforce 發動社交工程攻擊 Chanel、Pandora 等知名品牌
受害規模:數億筆敏感資料外洩,多家知名企業受創
利用被盜用的 Drift OAuth 權杖,攻擊者從 Salesforce 的各個資料表中竊取了約 15 億筆來自 760 家企業的資料記錄,包括:2.5 億筆客戶帳戶資料、5.79 億筆聯絡人資料、1.71 億筆商機資料、6 千萬筆使用者資料,以及 4.59 億筆案件資料。其中「案件」資料表儲存的技術支援工單資訊對科技公司而言可能包含極為敏感的資料。
這次大規模資料竊取行動影響了多家知名企業,包括 Google、Cloudflare、
Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks 等眾多企業。
Google 威脅情報團隊指出,攻擊者會進一步分析竊取的案件資料,尋找認證憑證、驗證權杖和存取金鑰等敏感資訊,以便入侵其他系統環境進行更深層的攻擊。
閱讀更多:Google 證實:Salesloft Drift 資安漏洞擴大 相關整合平台認證令牌應視為已遭駭
FBI發布警報,駭客宣稱「退休」但威脅仍存
由於此類攻擊事件數量龐大,
美國聯邦調查局(FBI)最近發布資安警報,特別針對 UNC6040 和 UNC6395 這兩個威脅行為者發出警告,並分享調查過程中發現的攻擊指標。上週四,自稱是 Scattered Spider 成員的攻擊者宣布計劃「消聲匿跡」,並在最後聲明中宣稱已入侵 Google 的執法部門資料請求系統(LERS)和 FBI 的 eCheck 平台。
延伸閱讀:GitHub 帳號遭入侵引發 Salesloft Drift 資安事件,波及 22 家企業
Google 確認有一個偽造帳戶被加入其 LERS 平台,但表示該詐騙帳號並未提出任何請求或存取任何資料。儘管威脅行為者宣稱將「退休」,但資安研究人員指出,這些駭客組織早在 2025 年 7 月就開始瞄準金融機構進行攻擊,且很可能持續進行惡意活動。
為防範此類資料竊取攻擊,Salesforce 建議客戶遵循資安最佳實務,包括
啟用多因素驗證(MFA)、
落實最小權限原則,以及
審慎管理第三方連接應用程式。
本文轉載自 BleepingComputer。