FBI 警告 Scattered Spider 和 ShinyHunters 对 Salesforce 平台的攻击
HackerNews 编译,转载请注明出处: 美国联邦调查局(FBI)警告称,与Scattered Spider及ShinyHunters网络犯罪组织相关的黑客正通过攻击Salesforce平台窃取数据,并向受害组织勒索高额赎金。 该机构于周五发布紧急通告,披露了今年已影响数百家企业的一系列持续数据窃取活动。FBI将这些黑客同时标注为UNC6040和UNC6395两个编号,其常用代号分别为ShinyHunters和Scattered Spider。 在历时数月攻破多家全球大型企业后,这些黑客现正试图勒索受害组织——威胁泄露大量客户数据、商业文件等敏感信息。 FBI未透露具体有多少受害者收到要求加密货币支付的勒索邮件,但指出赎金金额差异巨大且勒索时机看似随机。部分勒索发生在数据外泄数日后,而有些则在数月后才启动。 据FBI调查,该攻击活动始于2024年10月,黑客成员通过社会工程学攻击联系呼叫中心并伪装成IT员工获取机构访问权限。此类手段通常使网络犯罪分子获得员工凭证,进而访问存有客户数据的Salesforce实例。在其他案例中,黑客还通过网络钓鱼邮件或短信控制员工手机或电脑。 今年夏季,黑客进一步升级战术,转而利用企业连接到Salesforce实例的第三方应用程序。“UNC6040威胁行为者诱骗受害者为组织Salesforce门户授权恶意关联应用,”FBI表示,“这使得他们能够直接从受侵的Salesforce客户环境中访问、查询和外泄敏感信息。” 8月,黑客开始瞄准Salesloft Drift应用程序——一款可与Salesforce集成的人工智能聊天机器人。FBI解释称,该战术使他们能够绕过多因素认证、登录监控和密码重置等传统防御措施。在某些案例中,FBI发现黑客通过在Salesforce试用账户中创建恶意应用程序,无需使用合法企业账户即可注册关联应用。 FBI提供了可用于检测是否受影响的入侵指标(IoC),并敦促企业针对相关战术对呼叫中心员工进行培训。该机构还建议企业限制几乎所有员工账户的权限,实施基于IP的访问限制,监控API使用等。 专家表示,FBI提供的信息显示了这些攻击者如何熟练滥用合法工具(如Azure云基础设施、虚拟服务器、Tor出口节点和代理服务)来隐藏其攻击源。 黑客“退休”疑云 FBI发布通告前夕,该组织曾在Telegram多次发文宣称即将“退休”,并将原因归咎于近期成员接连被捕、执法行动和刑事定罪。网络安全专家对此表示怀疑,指出网络犯罪组织常在重组更名前发布类似声明。有分析认为黑客可能意在享受近期勒索所得,之后仍将重返犯罪活动。 帕洛阿尔托网络公司Unit 42部门高级主管Sam Rubin表示,近期逮捕行动可能促使该组织暂时潜伏,但历史表明此类活动往往只是暂时的。“这类组织会分裂、改头换面后重新出现——正如ShinyHunters自身经历。即使公开活动暂停,风险依然存在,被盗数据可能再次浮现,未检测到的后门可能持续存在,攻击者可能以新名称重新出现。”他强调,“威胁组织的沉默不等于安全”。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文