【安全资讯】ShinyHunters组织针对Salesforce客户发起数据窃取攻击

概要：

近期，知名黑客组织ShinyHunters针对多家国际知名企业发起了一系列针对Salesforce CRM系统的数据窃取攻击。受害者包括澳洲航空(Qantas)、安联人寿(Allianz Life)和奢侈品集团LVMH等。攻击者通过语音钓鱼(vishing)手段，成功窃取了大量敏感客户数据，目前正试图通过私下勒索获利。这一系列攻击凸显了云服务安全配置不当带来的重大风险。

主要内容：

Google威胁情报小组(GTIG)报告称，被追踪为UNC6040的威胁行为者通过冒充IT支持人员，诱骗目标企业员工在Salesforce连接应用设置页面输入"连接代码"。这一操作会将恶意版本的Salesforce Data Loader OAuth应用链接到目标的Salesforce环境。在某些案例中，攻击者甚至将Data Loader组件重命名为"My Ticket Portal"以提高欺骗性。

攻击主要通过语音钓鱼(vishing)实施，但同时也使用了仿冒Okta登录页面的钓鱼网站来窃取凭证和多因素认证(MFA)令牌。LVMH旗下品牌路易威登、迪奥和蒂芙尼均报告了客户信息数据库遭未授权访问的事件。安联人寿确认攻击者入侵了其使用的第三方客户关系管理平台。

安全研究人员发现ShinyHunters(UNC6040)与另一个知名黑客组织Scattered Spider(UNC3944)存在成员重叠，两者可能来自同一个网络犯罪社区。值得注意的是，ShinyHunters倾向于专注于针对特定云平台的数据窃取勒索攻击，而Scattered Spider则更常实施全面的网络入侵并部署勒索软件。

Salesforce强调其平台本身未被攻破，问题源于客户账户遭遇社会工程攻击。该公司建议客户启用多因素认证、遵循最小权限原则，并加强连接应用的管理。此次事件再次凸显了云服务配置安全的重要性，以及针对高价值目标的持续威胁。