随着数字化进程的不断加快,云端服务平台在企业经营中的重要性日益凸显,而作为全球领先的客户关系管理(CRM)解决方案提供商,Salesforce的安全问题也逐渐成为网络安全领域的焦点。2025年9月,美国联邦调查局(FBI)协同国土安全部下属的网络安全和基础设施安全局(DHS/CISA)发布紧急通报,警告全球企业关注两个活跃的网络犯罪团伙 - - UNC6040和UNC6395,正通过多样化的攻击手段针对Salesforce平台进行入侵,窃取敏感客户数据并进行勒索敲诈。此事件不仅暴露了云平台安全的复杂性,也提醒企业必须提升自身防御能力以应对日益猖獗的网络威胁。FBI发布的此次FLASH Alert(编号FLASH-20250912-001)详细披露了攻击团伙的作案技术、目标范围与防御建议,成为安全管理者不可忽视的重要参考。UNC6040团伙主要依赖声钓(Vishing)手法实施初步渗透,通过冒充IT支持人员,诱骗呼叫中心员工泄露Salesforce账号信息,包括用户名、密码及多因素认证(MFA)代码。这类社会工程学攻击利用电话交互制造紧迫感,使受害者在疑似处理紧急工单的情境下轻信攻击者,从而授权访问权限。
其攻击链条不仅局限于简单的认证信息收集,还常借助Salesforce的官方工具Data Loader进行API接口的滥用或数据批量导出,快速获取海量客户资料。此外,UNC6040威胁行为者还设计并诱使受害者授权恶意连接应用程序,这些 rogue OAuth应用程序伪装成合法集成,成功绕过多重安全机制,包括密码重置和登录监控机制,极大提升了攻击的隐蔽性和成功率。FBI强调,授权恶意应用意味着常规的安全防护措施失效,攻击者可无视MFA保护,直接接管关键业务流程和数据访问权。值得注意的是,部分UNC6040的受害者随后收到自称为知名数据勒索集团ShinyHunters的邮件,要求以加密货币支付为条件,防止敏感信息被公开出售或传播,显示出攻击后的经济敲诈意图。与此同时,UNC6395团伙则采取技术路线,利用盗取的第三方应用OAuth令牌实施入侵行动。尤其是在2025年8月,攻击者利用被泄露的Salesloft Drift AI聊天机器人OAuth令牌,绕过常规安全审查,实现对集成Salesforce实例的操控,从而窃取数据。
Salesloft Drift作为高效的客户互动工具,其与Salesforce的深度集成使攻击者能够通过第三方平台入口发起持续性数据渗漏。针对该事件,Salesforce与Salesloft于2025年8月20日联合紧急撤销所有活跃的Drift令牌,终止非法访问,及时阻断攻击链。发布的FBI警报还提供了大量的威胁情报指标(IOC),包括可疑IP地址如185.141.119.136、146.70.165.47以及192.42.116.179等,恶意域名登录页面login.salesforce.com/setup/connect以及常见用户代理字符串,使安全团队能够精准定位异常活动。FBI特别提醒,这些单独指标并不必然表示已经遭受入侵,需结合网络整体行为及日志进行综合分析以确定威胁真伪。对企业而言,响应此次FBI警告的关键在于多层次安全策略的实施。首先,强化员工安全意识培训,尤其是面向呼叫中心和客服人员,增强其识别声钓电话的能力,从根本上遏制初始访问风险。
其次,部署抗钓鱼的多因素认证解决方案,避免依赖传统短信或静态代码的单一认证方式,提升账号安全防护等级。企业还需严格执行最小权限原则,应用身份验证、授权与审计(AAA)策略,对各类访问权限进行严密管控,减少潜在攻击面。此外,对于API接口和第三方OAuth集成,必须设置持续监控和异常检测,发现非正常的访问模式及时响应。定期更换API密钥和OAuth令牌,加强令牌管理流程,防止因凭证泄露而导致的横向渗透风险。日志收集与流量分析也是防范关键,对数据外泄行为保持高度警觉,利用先进的安全信息与事件管理(SIEM)系统动态追踪可疑动向。总之,FBI关于UNC6040与UNC6395的告警揭示了网络犯罪分子正在不断演化的攻击方式,特别是对企业核心云服务Salesforce的针对性打击。
企业在享受云平台便利的同时,需时刻警惕潜伏的安全威胁,通过制度化管理和技术升级保障数据和业务连续性安全。未来,随着云应用生态日益丰富,攻击者也将持续挖掘更多漏洞和社会工程学手段,唯有全面、多维的安全防护框架方能有效抵御复杂多变的网络风险。面对来自声钓、人为疏忽及第三方集成漏洞的威胁,企业安全运营团队需快速响应,贯彻落实最佳实践规范,提升整体风险韧性,确保数字化转型稳健发展,保障客户信息安全不受侵犯。 。
