随着数字化转型的不断推进,云端应用成为重要的业务支撑平台,其中Salesforce作为全球领先的客户关系管理(CRM)平台,广泛应用于各行各业,承载着大量企业核心数据。近期,谷歌安全团队曝光了一支通过语音钓鱼手段针对Salesforce用户实施攻击的威胁组织UNC6040,引发业界的高度关注。这一针对性极强的恶意行为不仅利用了人性的信任弱点,也揭示了当今社会工程攻击的不断升级和复杂化。UNC6040是一支财务驱动的威胁集团,其主要作案手法是利用语音钓鱼,即通过电话冒充IT支持人员,与目标企业员工进行欺骗性的沟通。攻击者通过巧妙的社会工程手段成功说服受害者下载并授权一个伪装成Salesforce官方数据加载器的数据传输工具。数据加载器是Salesforce官方提供的一个工具,旨在帮助用户批量导入、导出及更新企业数据。
UNC6040对该工具进行了篡改,发布了名称和品牌都与正版产品不同的假冒版本,如被称为“我的票务门户”的程序,以此误导用户在Salesforce的连接应用设置页面中授予恶意程序访问权限。一旦授权成功,攻击者便能够获取受害企业的Salesforce门户访问权限,从而进行数据窃取。这些数据不仅限于客户信息,还包含企业内部敏感资料。更为严重的是,攻击者利用这次入侵作为跳板,在企业网络内部展开横向渗透,进一步访问包括Okta身份管理系统、Workplace企业社交平台以及Microsoft 365办公套件等多种关键应用,扩大数据获取范围和影响面。据谷歌威胁情报团队透露,此次针对UNC6040的活动分布在美洲和欧洲,波及近20家涵盖酒店、零售、教育等多个行业的受害企业。值得注意的是,初步入侵和窃取数据往往并非攻击的最终目的,部分受害企业在数月之后遭遇了勒索活动。
攻击者声称与臭名昭著的黑客组织ShinyHunters存在联系,利用该身份施加压力,迫使企业支付赎金。同时,谷歌指出UNC6040与网络犯罪集团The Com存在一定关联,尤其是在针对Okta凭证的攻击策略及社会工程伎俩方面。此外,与另一财务驱动的威胁组织Scattered Spider虽然在目标和攻击目的上有所区分,但都充分利用语音钓鱼这一方式,通过模仿IT支持人员的身份实现初期入侵。这类自动化电话系统被广泛使用,内置预录语音信息和互动菜单,帮助攻击者匿名收集目标组织的内部问题、应用名称及更多联系信息,从而为后续攻击铺路。跨国企业尤其面临着由于远程办公和外包服务台盛行带来的安全挑战。员工面对陌生或外部看似权威的技术支持人员时,容易放松警惕,而攻击者正是利用这种心理漏洞,精心设计并执行社会工程攻击。
对此,Salesforce在2025年初已发布官方警告,提醒客户警惕电话钓鱼攻击,特别是在接到要求访问或授权连接应用的请求时务必核实真伪。Salesforce坚称,该系列事件并非其平台本身存在技术漏洞,而是源自用户被欺骗授权了恶意应用,强调安全防护应是平台与用户共同责任。Salesforce建议客户启用多因素身份认证(MFA)、IP限制和其他安全功能,强化账户安全,同时提高员工安全意识以防范类似社会工程攻击。此次UNC6040攻击事件提醒企业在依赖云平台的今天,安全防控工作必须综合考虑技术层面及人因因素。加强员工培训、模拟钓鱼测试及完善安全访问管理策略均是阻断此类攻击的重要手段。随着威胁形势日益严峻,企业应及时更新安全政策,采用先进威胁检测和响应方案,保障企业核心资产免遭侵害。
整体来看,UNC6040利用语音钓鱼手段攻击Salesforce客户的案例代表了当前社会工程攻击的典型趋势,显示了攻击者在技术与心理战术上的双重进化。未来,针对云服务的钓鱼及授权滥用手法可能愈加隐蔽和多样化,企业需要建立多层次防御体系,提高安全文化建设水平,发挥技术与人的协同防护作用。投资于安全自动化、终端防护和身份管理,有助于减少人为失误风险,提升应对复杂攻击的能力。最终,只有在技术、防御机制与员工意识相互配合的情况下,企业方能更有效抵御像UNC6040这样的高水平威胁,确保业务持续、安全稳定运行。
