HackerNews 编译,转载请注明出处:
影响澳洲航空、安联人寿、路易威登和阿迪达斯等公司的数据泄露事件已被证实与勒索集团ShinyHunters有关。该组织通过语音钓鱼攻击(vishing)侵入Salesforce CRM实例窃取数据。
2025年6月,谷歌威胁情报小组(GTIG)发出警告,被追踪为UNC6040的威胁行为者正针对Salesforce客户发起社会工程攻击。攻击者冒充IT支持人员致电目标企业员工,诱骗其访问Salesforce的“连接应用程序设置”页面,并要求输入“连接代码”。该操作会将恶意版本的Salesforce Data Loader OAuth应用程序关联至目标的Salesforce环境。为增强欺骗性,攻击者有时将数据加载器组件重命名为“我的票务门户”。
GTIG指出,此类攻击主要通过语音钓鱼实施,但攻击者也会伪造Okta登录页面窃取凭证及多因素认证(MFA)令牌。
同期多家企业报告涉及第三方客服或云端CRM系统的数据泄露:
- LVMH旗下路易威登、迪奥和蒂芙尼披露客户信息库遭未授权访问,蒂芙尼韩国分公司称攻击者入侵了“用于管理客户数据的供应商平台”。路易威登确认泄露数据包含客户姓名、性别、电话、住址及购买记录,但否认支付信息外泄。安联人寿发言人向BleepingComputer证实:“2025年7月16日,恶意威胁行为者侵入北美安联人寿使用的第三方云端CRM系统”。澳航虽未公开确认涉事平台,但当地媒体报道及法庭文件显示,攻击目标“账户”和“联系人”数据库表均为Salesforce特有对象。
BleepingComputer核实上述公司均属谷歌所述同一攻击活动的目标。目前威胁行为者正通过邮件私下勒索企业,自称ShinyHunters。若勒索失败,预计将采取类似Snowflake攻击的手法分批泄露数据。
网络安全社区最初误将攻击归因于Scattered Spider(UNC3944),因二者战术相似且同期瞄准航空、零售和保险业。但关键差异在于:
- Scattered Spider通常实施全面网络入侵,最终窃取数据或部署勒索软件ShinyHunters(UNC6040)专注于特定云平台的数据窃取勒索
安全研究人员Allan Liska指出:“已知攻击的重叠战术技术证明二者可能存在成员交叉”。
部分研究人员认为该组织代表其他黑客团伙实施勒索并分成,类似勒索软件即服务(RaaS)模式。同时运营黑客论坛BreachForums,2023年被FBI关闭后于2024年重启,展示强大恢复能力。历史攻击轨迹包括:2021年窃取AT&T的7000万客户信息(起拍价20万美元),2024年5月连续入侵桑坦德银行(3000万记录+2800万信用卡)和Ticketmaster(5.6亿条数据)。
Salesforce向BleepingComputer声明平台本身未受攻击,问题源于客户账户遭社会工程入侵,并建议企业采取以下措施:
- 访问控制:强制受信IP范围登录,限制连接应用程序权限认证强化:全域启用多因素认证(MFA)权限管理:遵循最小特权原则分配应用权限监控升级:部署Salesforce Shield实现威胁检测与事件监控应急机制:设立专属安全联系人处理事件响应
攻击者利用OAuth应用授权机制漏洞,通过社会工程诱骗员工授权恶意应用。此攻击不依赖平台漏洞,因此传统补丁更新无法防御。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
