谷歌確認 Salesforce 在 ShinyHunters 攻擊中發生數據洩露

在一項正在進行的網絡安全活動的新進展中，谷歌承認黑客組織 ShinyHunters 對其一個 Salesforce 系統造成了數據洩露。

此次洩露事件發生在 6 月初，損害了 Google 的一個內部 Salesforce 實例，暴露了與中小型企業相關的聯繫信息和註釋。當時，谷歌的威脅情報小組（GTIG）已經就這一威脅發出了警告，將攻擊者標記為“UNC6040”，這是一個出於經濟動機的組織，並將他們的勒索機構標記為“UNC6240”。

現在，在更新在其最初的帖子中，這家科技巨頭承認自己已成為攻​​擊目標。 GTIG 表示，被盜數據僅限於“基本且大部分公開的”商業信息，例如企業名稱和聯繫方式。據報導，這次入侵時間很短，被發現後很快就切斷了訪問權限。

“6 月份，Google 的一個企業 Salesforce 實例受到本文中描述的類似 UNC6040 活動的影響。Google 對該活動做出了響應，進行了影響分析並開始緩解措施，”Google 的更新稱。

“該實例用於存儲中小型企業的聯繫信息和相關註釋。分析顯示，威脅行為者在訪問被切斷之前的一小段時間內檢索了數據。”

誰是閃亮獵人？

著名的敲詐勒索組織 ShinyHunters 與一系列備受矚目的違規行為有關，其中包括 Snowflake、AT&T、NitroPDF 和 PowerSchool 的違規行為。今年夏天，他們聲稱對阿迪達斯、澳洲航空、安聯人壽、思科、迪奧、路易威登和潘多拉等公司的 Salesforce 數據洩露負責。

這一次，他們使用語音網絡釣魚（或稱“網絡釣魚”）來欺騙員工放棄對 Salesforce 等雲服務的訪問權限。

不斷擴大的攻擊網絡

有關的：Coinbase 安全漏洞導致用戶數據和政府 ID 洩露

Google 的違規行為只是 ShinyHunters 竊取 Salesforce 數據並將其武器化的更大規模活動的一部分。據報導，該組織使用社會工程策略，例如在令人信服的電話中冒充 IT 支持人員，誘騙員工交出憑據或批准連接到公司 Salesforce 帳戶的虛假應用程序。

一旦進入內部，他們就會部署自定義腳本或修改 Salesforce Data Loader，以悄悄提取敏感業務數據。

在某些情況下，攻擊者會使用這些工具的修改版本，偽裝成“我的票務門戶”等名稱，以匹配他們在網絡釣魚呼叫中使用的藉口。

重要的是，這些攻擊並沒有利用 Salesforce 本身的任何缺陷。該平台保持安全。相反，黑客依賴於人為錯誤，例如操縱用戶放棄憑據或批准惡意連接的應用程序。

被盜數據隨後被用於索要贖金，公司收到威脅電子郵件，要求在 72 小時內以比特幣付款，否則將面臨信息在網上洩露的風險。在某些情況下，公司會支付巨額費用來防止敏感信息洩露，據報導，一家公司支付了 40 萬美元以防止其數據在網上洩露。 

谷歌的回應

為了幫助組織保護自己免受此類社會工程攻擊（尤其是涉及 Salesforce Data Loader 等工具的攻擊），Google 分享了幾項關鍵安全措施，包括：

• 限制對 Salesforce Data Loader 和連接的應用程序的訪問
• 使用基於 IP 的訪問限制
• 普遍實施多重身份驗證 (MFA)
• 監控大數據下載
• 根據角色限制權限

谷歌總結道：“通過實施這些措施，組織可以顯著加強針對網絡釣魚類型和 UNC6040 數據洩露活動的安全態勢。”