美國聯邦調查局(FBI)指出,駭客組織UNC6040與UNC6395近期針對企業的Salesforce平臺發動攻擊,透過語音社交工程與遭竊的OAuth權杖取得存取,進一步大規模竊取資料,部分受害者還接到電子郵件勒索。
FBI指出,UNC6040自2024年10月以來持續活躍,手法以語音釣魚為主,攻擊者會假冒IT人員致電客服中心,要求員工配合操作或交付登入資訊。一旦取得初始憑證,就會引導受害者在Salesforce的管理介面核准惡意連接應用程式,這些應用多半偽裝成合法的工具,例如修改版的Salesforce Data Loader,實際上在取得OAuth權杖後可直接透過API批次匯出大量資料。由於授權流程來自平臺本身,攻擊活動往往能規避多因素驗證、密碼重設與登入稽核等控管機制,使外洩行為更難被察覺。
UNC6395則是在2025年8月被觀測到利用Salesloft的Drift應用遭竊的OAuth權杖,結合第三方整合功能進入企業的Salesforce環境並竊取資料。雖然這個途徑在8月20日已由Salesloft與Salesforce共同撤銷權杖而遭封鎖,但事件也凸顯了第三方整合帶來的潛在風險。FBI強調,即便攻擊鏈已中斷,仍有必要檢查是否存在殘留或不必要的權杖,以防止後續遭濫用。
值得注意的是,部分UNC6040的受害組織在資料遭外洩後,還收到自稱ShinyHunters的電子郵件勒索,要求支付加密貨幣以避免公開資料,這代表攻擊並不只是資料竊取,還可能演變成公開威脅與二次勒索。
針對駭客組織UNC6040與UNC6395的威脅,FBI提出一系列務實的防護方向,首先,企業應加強客服與第一線人員的社交工程防範訓練,並要求採用具抗釣魚能力的多因素驗證方式。其次,建議落實最小權限原則,並透過驗證、授權與稽核確保使用者與群組存取權限受到有效控管。
FBI還建議企業強制採用基於IP的存取限制,並持續監控與偵測API使用是否有不尋常或惡意行為。同時,應全面盤點環境中現有的第三方整合與連接應用,定期輪換API金鑰、密碼與OAuth權杖,並下線來源不明或不再使用的應用程式。除此之外,針對網路與瀏覽器工作階段的監控,也能協助偵測資料外洩跡象。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-11-30
2025-12-01
2025-12-04