知名云基SaaS(软件即服务)提供商Workiva已通知其客户,攻击者通过入侵第三方客户关系管理(CRM)系统,窃取了部分用户数据。
Workiva的云软件主要用于为财务报告、合规审查和审计工作收集、关联及共享数据。截至去年年底,该公司拥有6305家客户,2024年营收达7.39亿美元。
其客户名单涵盖85%的《财富》500强企业,以及谷歌、T-Mobile、达美航空、Wayfair、好时、Slack、高知特、桑坦德银行、诺基亚、卡夫亨氏、温迪快餐、派拉蒙、梅赛德斯-奔驰等知名企业。
数据泄露细节与平台安全性说明
据Workiva上周发送给受影响客户的私人邮件通知显示,攻击者窃取了少量商业联系信息,包括姓名、电子邮箱地址、电话号码以及支持工单内容。
该公司解释称:“此类事件与近期多起针对大型机构的攻击类似。重要的是,Workiva平台本身及其中的所有数据均未被访问或破坏。CRM供应商已通知我们,攻击者是通过一个关联的第三方应用程序非法入侵的。”
Workiva还提醒受影响客户保持警惕,因为被盗信息可能被用于鱼叉式钓鱼攻击。
关联Salesforce数据泄露事件
尽管Workiva未披露此次攻击的更多细节,但据了解,该事件是近期Salesforce数据泄露潮的一部分——这一系列攻击与勒索团伙ShinyHunters有关,已影响多家知名企业。
就在不久前,Cloudflare披露称,其被迫轮换了104个由Cloudflare平台签发的令牌,这些令牌被ShinyHunters团伙窃取。该团伙于8月中旬入侵了Cloudflare用于客户支持和内部客户案例管理的Salesforce实例。
自今年年初以来,ShinyHunters就通过语音钓鱼(vishing)针对Salesforce客户实施数据盗窃攻击,受影响企业包括谷歌、Cisco、Allianz Life、、Workday、Qantas、Adidas以及LVMH旗下子公司(包括迪奥、路易威登和蒂芙尼等)。
近期,该勒索团伙的攻击手段有所转变:他们开始利用窃取的OAuth令牌(用于Salesloft的Drift AI聊天工具与Salesforce的集成功能)入侵客户的Salesforce实例,并从客户消息和支持工单中提取敏感信息,如密码、AWS访问密钥和Snowflake令牌。
通过这种方式,ShinyHunters除了窃取Salesforce CRM数据外,还入侵了少量谷歌Workspace账户,并攻陷了网络安全公司Zscaler和Palo Alto Networks的Salesforce。
网络犯罪分子正滥用Meta的广告平台,以“免费提供TradingView Premium应用”为诱饵,传播针对安卓系统的Brokewell恶意软件。
该活动以加密货币资产为攻击目标,至少从7月22日起便已启动,据估算已投放约75个本地化广告。
Brokewell恶意软件自2024年初出现以来,具备一系列广泛功能,包括窃取敏感数据、远程监控和控制受感染设备。
接管设备
网络安全公司Bitdefender的研究人员对该活动中的广告进行了调查。发现这些广告盗用了TradingView的品牌标识和视觉元素,以“免费提供安卓高级版应用”为噱头引诱潜在受害者。
虚假的 TradingView 广告链接到 Brokwell 恶意软件
研究人员指出,该活动专为移动用户设计——若从其他操作系统访问广告,显示的将是无害内容;但通过安卓设备点击后,用户会被重定向至一个仿冒TradingView官方网站的页面,进而下载托管在tradiwiw[.]online/域名下的恶意文件tw-update.apk。
研究人员在本周的一份报告中表示:“这款植入的应用会申请无障碍权限,获得权限后,屏幕会被虚假的更新提示覆盖。而在后台,该应用正为自己获取所需的全部权限。”
此外,这款恶意应用还会通过模拟需要锁屏密码的安卓系统更新请求,试图获取设备解锁PIN码。
假冒TradingView应用程序试图获取Android设备锁定屏幕代码
根据Bitdefender的说法,这款仿冒TradingView的应用是“Brokewell恶意软件的高级版本”,配备了“旨在监控、控制和窃取敏感信息的庞大工具库”,具体功能包括:
·扫描比特币、以太坊、泰达币等加密货币资产及银行账号信息;
·窃取并导出谷歌验证器中的验证码(实现双因素认证绕过);
·通过覆盖虚假登录界面窃取账户信息;
·录制屏幕、记录按键操作、窃取Cookie、激活摄像头和麦克风,并追踪设备位置;
·劫持默认短信应用以拦截信息,包括银行相关短信及双因素认证验证码;
·远程控制——可通过Tor网络或WebSocket接收指令,执行发送短信、拨打电话、卸载应用甚至自我销毁等操作。
研究人员还提供了该恶意软件工作原理的技术概述,以及包含130余条记录的支持指令扩展清单。
Bitdefender 表示,此次活动是一项大规模网络行动的一部分。该行动最初便利用Facebook广告仿冒“数十个知名品牌”,以Windows用户为攻击目标。