ShinyHunters駭客集團翻轉MFA防護邏輯，發動新型態社交工程攻擊

2026 / 02 / 04

編輯部

多因子驗證（MFA）原本是抵禦網路釣魚攻擊的重要防線，但駭客集團 ShinyHunters 反其道而行，將 MFA 轉化為攻擊工具，透過精心設計的社交工程手法繞過防護機制。這波攻擊已成功入侵 Panera Bread、SoundCloud、Match Group（旗下擁有 Tinder、Hinge、Match 和 OkCupid 等交友服務）及 Crunchbase 等知名企業。

根據 Silent Push 研究人員的監測，攻擊者正積極鎖定科技、金融科技、金融服務、房地產、能源、醫療保健、物流及零售等多個產業，實際受害者數量可能遠超過目前已知案例。

身分驗證服務商 Okta 近期警告，語音釣魚的專門攻擊者正使用客製化釣魚工具包，讓釣魚網頁上的驗證流程與電話中的要求同步進行。Okta 研究人員指出，這種混合式釣魚攻擊甚至能繞過數字挑戰或數字配對的推播通知驗證機制，讓攻擊者可在電話中直接要求受害者選擇或輸入特定數字。

多個威脅集團採用相似手法

Google Cloud 旗下的威脅情報與事件應變部門 Mandiant 發現，多個看似獨立的威脅集團（包括 UNC6661 和 UNC6671）正使用相同或類似的攻擊手法。

2026 年 1 月初至中旬，UNC6661 假冒 IT 人員致電目標組織員工，聲稱公司正在更新 MFA 設定。攻擊者引導員工前往偽裝成企業品牌的釣魚網站，藉此竊取單一登入（SSO）憑證和 MFA 驗證碼，隨後註冊自己的裝置以進行 MFA 驗證。部分案例中，攻擊者成功入侵 Okta 客戶帳號。

攻擊者取得初始存取權限後，會在受害者的客戶環境中橫向移動，存取各種 SaaS 平台並竊取特定資料。他們主要搜尋兩類文件：包含個人識別資訊（PII）的文件，以及含有「poc」、「confidential」、「internal」、「proposal」、「salesforce」、「vpn」等關鍵字的文件。

為了降低被偵測的風險，攻擊者在至少一起事件中刪除了 Okta 寄發的「已註冊安全方法」電子郵件，同時也刪除了從遭入侵帳號寄送給加密貨幣企業聯絡人的釣魚郵件。

更激進的勒索手法

同一時期，UNC6671 威脅行為者也透過電話假冒 IT 人員，引導受害者在偽裝成雇主網站的釣魚頁面輸入憑證和 MFA 驗證碼。取得 Okta 客戶帳號的存取權限後，該集團利用 PowerShell 從 SharePoint 和 OneDrive 下載敏感資料。竊取資料後，他們採用更激進的勒索手法，包括直接騷擾受害企業的人員。

Mandiant 研究人員根據釣魚網域託管、用於談判的 Tox 聊天帳號等細節，判斷這是兩個獨立的集團或個人。而根據重疊的戰術、技術和程序（TTP），UNC6661 可追溯至 UNC6040，也就是 ShinyHunters 網路勒索集團。

研究人員也觀察到，攻擊者向員工發送勒索簡訊，並對受害者網站發動分散式阻斷服務（DDoS）攻擊。

ShinyHunters攻擊範圍持續擴大

ShinyHunters 在去年針對 Salesforce 發動攻擊後，已將勒索範圍擴展至各種 SaaS 環境。Mandiant 追蹤發現，當時的攻擊導致 Google、Cisco、Adidas 和 Workday 等多家組織遭到入侵。

延伸閱讀：駭客組織ShinyHunters宣稱藉Drift漏洞竊取15億筆Salesforce資料

最近的攻擊範圍更廣，鎖定 Microsoft 365、SharePoint、Slack 等熱門 SaaS 服務。這顯示威脅行為者正在擴大目標雲端平台的數量和類型，調整作業方式以收集更多敏感資料進行勒索。

另一個威脅集團 UNC6240 負責入侵後的勒索活動。其使用 Tox 即時通訊帳號進行談判，發送標記 ShinyHunters 品牌的勒索郵件，並透過 Limewire 平台提供遭竊資料樣本。在寄給受害者的郵件中，攻擊者會列出聲稱竊取的資料、指定付款金額和比特幣地址，並威脅若未在 72 小時內支付贖金，將發動 DDoS 攻擊。

閱讀更多：ShinyHunters 鎖定 Salesforce 發動社交工程攻擊 Chanel、Pandora 等知名品牌

防護建議

儘管美國去年 10 月關閉了 ShinyHunters 的 Salesforce 勒索網站，該集團仍持續演進攻擊手法。為協助組織強化防護，Mandiant 已發布全面的主動強化和偵測建議，並分享攻擊相關的入侵指標（IoC）和威脅獵捕查詢語句。Google 也已將所有已識別的釣魚網域加入 Chrome 安全瀏覽功能，保護 Chrome 使用者。

專家建議組織採取以下措施，抵禦此類社交工程攻擊：