HackerNews 编译,转载请注明出处:
谷歌警告称,专业从事语音钓鱼(vishing)攻击的黑客组织UNC6040正针对Salesforce客户发起大规模数据窃取与勒索活动。该组织通过电话伪装成IT支持人员,诱骗目标企业员工授权恶意应用访问其Salesforce门户。
攻击过程中,UNC6040引导受害者访问Salesforce连接应用设置页面,诱导其批准经恶意篡改的Data Loader应用(Salesforce官方数据导入工具)的未授权版本。一旦获得访问权限,攻击者即可窃取企业Salesforce环境中的敏感信息,并利用这些数据实施勒索——部分案例中勒索行为发生在入侵数月后。
谷歌强调:“此类访问权限不仅直接导致数据外泄,更常成为横向渗透的跳板,使攻击者得以入侵其他云服务及企业内部网络。” 观测发现UNC6040利用Data Loader工具窃取数据后,已横向移动至Microsoft 365、Okta及Workplace等平台。
谷歌指出,所有案例中UNC6040仅依赖社会工程学实现初始入侵,未利用Salesforce平台漏洞(Salesforce数月前已预警此类攻击)。本次持续数月的攻击已波及美洲和欧洲约20家机构,涵盖教育、酒店、零售等多领域,具有明显的投机性特征。
该组织声称与臭名昭著的ShinyHunters黑客团伙存在关联(谷歌推测实为虚张声势),试图借此向受害者施压。其攻击基础设施同时托管用于钓鱼Okta凭证的欺诈面板,通话中还会索要用户密码及多因素认证码。
谷歌溯源发现,UNC6040的攻击策略与黑客团体“The Com”(Scattered Spider隶属该组织)高度重合,包括:通过IT支持实施社会工程、窃取Okta凭证、重点针对跨国企业英语用户等。这反映出威胁行为体正将IT支持人员作为入侵企业数据的核心突破口,凸显出日益严峻的安全趋势。
消息来源: securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
