随着云计算和企业级应用的广泛普及,Salesforce作为全球领先的客户关系管理平台,逐渐成为网络攻击者的重点目标。美国联邦调查局(FBI)近日发布紧急预警,指出两个臭名昭著的网络犯罪团伙 - - UNC6040和UNC6395,正集中利用多种初始入侵机制对Salesforce实例实施大规模数据盗窃和勒索活动。了解这两大威胁团伙的攻击策略和影响,对强化企业安全防护措施意义重大。 UNC6395团伙近期通过滥用Salesloft旗下Drift应用程序的OAuth令牌,成功突破了关联企业的Salesforce系统防线。此次攻击的根源源自2025年3月至6月期间,Salesloft的GitHub账户遭遇泄漏,导致内部代码和访问凭证被黑客窃取。为阻止进一步损失,Salesloft采取了断开Drift AI聊天机器人服务、隔离受影响基础设施以及多因素认证强化等紧急修复措施。
该事件对使用Drift服务的客户构成了潜在风险,企业被建议全面排查与Drift相关的集成服务和数据的安全性,避免被植入后门或遭受数据泄露。 相比之下,UNC6040则更侧重于通过社会工程学攻击手法获取Salesforce访问权限。该组织自2024年10月以来活跃,采用电话诈骗(vishing)的方式诱导目标用户访问伪造的钓鱼面板,从而窃取认证信息。这种操作结合了定制的Python脚本和改造版的Salesforce数据加载器工具,能够绕过传统安全防护,批量提取海量敏感数据。攻击者不仅以数据窃取为目的,后续还实施勒索策略,延后数月对企业发动勒索威胁,增加受害者压力。 FBI在预警中指出,UNC6040黑客组织的攻击流程极具针对性和隐蔽性,攻击者使用API查询实现高速数据转移,避免触发传统流量检测系统。
谷歌安全团队进一步披露,执行勒索阶段的势力是另一个组织UNC6240,该团伙自称是臭名昭著的ShinyHunters黑客集团,并频繁通过邮件和电话与受害企业人员进行威胁沟通。ShinyHunters还被发现筹划打造专门的数据泄露网站,提高对被攻击企业的施压能力。这种公然展示盗取数据的做法,令许多企业遭受品牌声誉损失和客户信任危机。 网络安全界近期观测到,ShinyHunters与其他著名黑客组织如Scattered Spider和LAPSUS$开始结盟,整合攻击资源形成更强的合作网络。2025年9月12日,该联盟成员公开宣布"休团",声称任务已完成准备"隐退",但业内专家对此持怀疑态度,认为这很可能是策略性隐蔽行为,意在逃避执法追查后再度卷土重来。安全分析师强调,这种公然宣布退出的行为常常标志着黑帮分裂、重组,而不是彻底消失。
企业应持续保持高度警惕,准备针对现存及潜在漏洞进行持续的安全监控和风险评估。 针对UNC6040与UNC6395的攻击特征,企业在防御策略上须重点关注身份认证安全和权限管理。强化多因素认证(MFA)已成为遏制此类入侵的关键步骤之一,尤其是对第三方应用的访问权限要求严格审核和动态调整。此外,版本控制平台(如GitHub)的安全保护同样不可忽视,避免因源码泄露引发连锁安全事件。实现API访问的日志监控和异常行为分析,也能帮助及早发现API密钥被盗用或异常使用的迹象。 除此之外,员工的安全意识培训也显得尤为重要。
面对社会工程学攻击,提升员工识别钓鱼电话和钓鱼网站的能力,是防止初始入侵的有效方法。结合技术手段与人为防护,构筑多层次安全防线,才能最大化降低潜在风险。 纵观本次FBI预警披露的内容,能明显看出当今网络犯罪组织正积极调整攻击策略,结合技术手段与社会工程攻击,以更隐秘和高效的方式锁定目标并实施侵蚀。全球企业特别是依赖云平台和SaaS服务的公司,必须重新审视自身的安全防护架构,从身份管理、应用安全、数据访问到威胁响应机制,全方位强化防护能力。 随着网络威胁环境的演进,监管机构和安全社区的角色愈发重要。FBI的及时预警和Google的联合分析,为企业识别威胁、制定响应策略提供了有效线索。
企业应积极利用业界共享的威胁情报,结合自身环境实施靶向防御措施,提高整体抗风险能力。 未来,随着人工智能和自动化技术在黑客手段中被广泛应用,企业安全防护的复杂度将持续攀升。微软及其他大型科技公司倡导的零信任架构,以及基于行为分析的安全模型,将成为抵御类似UNC6040和UNC6395这类高级持续性威胁(APT)的重要保障。只有加快数字安全转型步伐,完善防御体系,才能在激烈的安全博弈中立于不败之地。 总结来看,UNC6040和UNC6395围绕Salesforce平台的攻击事件提醒我们,云安全不仅是技术挑战,更是管理和策略的综合考验。企业要深刻认识到,保护客户数据和商业机密的安全是一场持续的战争,唯有依托严密的防御体系和及时的威胁响应,才能在瞬息万变的网络环境中保障业务连续性和品牌信任。
。
