駭客利用語音釣魚攻擊竊取20多家公司的 Salesforce 資料

網路安全研究人員發現了一起針對使用 Salesforce 企業的複雜社會工程攻擊活動，攻擊者冒充IT支援人員獲取敏感客戶資料的未授權訪問許可權。這些攻擊已成功入侵美國和歐洲至少20家組織，凸顯了以人為中心的網路攻擊在企業環境中的持續威脅。

攻擊統計資料和影響

語音釣魚攻擊方法

這次攻擊活動背後的網路犯罪分子採用了一種看似簡單卻極其有效的方法，被稱為語音釣魚（vishing）。攻擊者直接透過電話聯絡員工，冒充其組織的合法IT支援人員。在這些通話中，毫無戒心的工作人員被引導訪問虛假的 Salesforce 設定頁面，並被指示下載看似合法的 Salesforce Data Loader 應用程式。

這個惡意版本的工具雖然看起來與正版軟體完全相同，但卻為攻擊者提供了直接訪問組織 Salesforce 資料庫的許可權。一旦安裝並連線，犯罪分子就能立即查詢、訪問和匯出大量敏感的客戶記錄和業務資料。在其他情況下，攻擊者會在電話通話中直接向員工索要登入憑據和多因素認證程式碼。

發光的筆記型電腦鍵盤象徵著攻擊者在語音釣魚攻擊中利用的數字平臺

歸屬和犯罪網路關聯

Google 威脅情報小組已確定這些攻擊背後的主要團體為 UNC6040，該組織專門從事基於語音的社會工程技術。然而，該行動似乎涉及多個協調合作的犯罪實體。實際的勒索要求往往在初始資料盜竊後數月才浮出水面，這表明有第二個團體負責該行動的變現階段。

這些攻擊者已證明與一個更廣泛的網路犯罪生態系統存在關聯，該系統被稱為 The Com，這是一個主要位於美國、英國和西歐的鬆散關聯駭客網路。該集體的成員，包括臭名昭著的 Scattered Spider 組織，此前曾與涉及IT人員冒充和針對加密貨幣盜竊的SIM卡交換操作的高調攻擊有關。

犯罪組織與歸因分析

技術基礎設施和訪問方法

攻擊者採用複雜的行動安全措施來掩蓋其活動。他們利用 Mullvad VPN IP地址訪問被入侵的 Salesforce 環境，使安全團隊的歸屬和追蹤變得更加困難。一旦建立初始訪問許可權，犯罪分子就展現出先進的橫向移動能力，將其影響範圍擴充套件到其他基於雲的平臺，包括 Microsoft 365 和 Okta 系統。

該組織的方法論超越了簡單的憑據盜竊。他們透過多個渠道系統性地收集認證資訊，並使用這些憑據在目標組織基礎設施內的各種雲服務中建立持久訪問許可權。

行業影響和近期違規背景

這次攻擊活動出現在針對主要零售商和企業的網路攻擊不斷升級的背景下。近幾個月來，重大安全事件影響了包括 Marks & Spencer Group 在內的知名品牌，該公司因4月份的勒索軟體攻擊面臨3億英鎊的營業利潤影響。其他受影響的組織包括 Co-op Group、Adidas AG、Victoria's Secret & Co.、Cartier 和 North Face，儘管 Google 的研究並未明確將這些事件與專注於 Salesforce 的攻擊活動聯絡起來。

近期企業網路攻擊影響

平臺安全和供應商響應

Google 和 Salesforce 都強調，這些攻擊利用的是人為漏洞，而非平臺本身的技術缺陷。Salesforce 代表確認，其服務中沒有固有漏洞導致這些違規行為。該公司此前曾在3月份的部落格文章中警告客戶注意類似的社會工程策略，並提供了防護此類攻擊的指導。

這些事件凸顯了社會工程在網路安全中的持續挑戰，即使是訓練有素的員工也可能成為令人信服的冒充嘗試的受害者。儘管有廣泛的安全意識培訓計劃，攻擊者仍然透過直接的人為操縱而非技術利用繼續獲得成功。