骇人听闻！一次攻击窃取了760家企业超15亿条数据，涉多家财富500强

（来源：奇安信）

　　其中约2.5亿条来自账号表，5.79亿条来自联系人表，1.71亿条来自商机表，6000万条来自用户表，约4.59亿条来自案例表；

　　据悉，至少谷歌、派拓科技两家财富500强，Cloudflare、Zscaler、Tenable、Elastic等大量上市公司均受影响。

　　安全内参消息，近日，勒索组织ShinyHunters宣称，他们通过入侵Salesloft Drift的OAuth令牌，从760家公司窃取了超过15亿条Salesforce记录。

　　在过去一年中，这些威胁行为者针对Salesforce客户持续发动数据窃取攻击，主要手段包括社会工程学和恶意OAuth应用，从而攻陷Salesforce实例并下载数据。随后，他们利用被盗数据勒索企业，以泄露信息为威胁，迫使企业支付赎金。

　　据称，这些攻击由ShinyHunters、Scattered Spider和Lapsus$等勒索组织实施，他们目前自称为“Scattered Lapsus$ Hunters”。谷歌将相关活动追踪为UNC6040和UNC6395。

关键SaaS授权失陷，

客户数据全面失守

　　今年3月，其中一名威胁行为者攻破了Salesloft的GitHub代码库，获取了该公司的私有源代码。

　　ShinyHunters向外媒BleepingComputer透露，威胁行为者利用TruffleHog安全工具扫描源代码以寻找敏感信息，最终发现了Salesloft Drift和Drift Email平台的OAuth令牌。

　　Salesloft Drift是一个第三方平台，它将Drift AI聊天代理与Salesforce实例连接，使组织能够将对话、潜在客户和支持案例同步至CRM系统。Drift Email则用于管理邮件回复，并整合CRM和营销自动化数据库。

　　ShinyHunters对BleepingComputer表示，攻击者利用窃取的Drift OAuth令牌，从Salesforce的“账号”“联系人”“案例”“商机”和“用户”等对象表中，盗取了760家公司约15亿条数据。

　　具体来说，其中约2.5亿条来自账号表，5.79亿条来自联系人表，1.71亿条来自商机表，6000万条来自用户表，约4.59亿条来自案例表。

　　案例表通常存储公司客户提交的支持工单内容和文本，对于科技公司而言，这类信息往往包含敏感数据。

　　为证明自己是此次攻击的幕后黑手，相关威胁行为者分享了一份文本文件，其中列出了被攻破的Salesloft GitHub代码库中的源代码文件夹。

　　BleepingComputer就被窃取的数据量和受影响公司的数量联系了Salesloft，但未获回复。不过，有消息源确认这些数字属实。

攻击者从窃取数据检索敏感信息，

试图发起二次攻击

　　谷歌威胁情报部门（Mandiant）报告指出，攻击者已对窃取的案例数据进行分析，以寻找潜藏的敏感信息，如凭证、身份验证令牌和访问密钥，从而进一步渗透到其他环境。

　　谷歌解释称：“在数据被外泄后，攻击者会在其中搜寻可能被用来入侵受害者环境的敏感信息。”

　　“谷歌威胁情报部门观察到，UNC6395特别针对敏感凭证发动攻击，包括亚马逊云计算服务（AWS）的访问密钥（AKIA）、密码以及与Snowflake相关的访问令牌。”

　　被窃取的Drift和Drift Email令牌已被用于大规模数据盗取行动，受害对象涵盖谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、Jfrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks等众多大型企业。

　　鉴于攻击规模巨大，美国联邦调查局（FBI）近日发布警告，提示UNC6040和UNC6395相关威胁行为者的动向，并共享了在攻击中发现的入侵指标（IOC）。

该团伙还针对谷歌、金融机构等持续发起攻击

　　上周四，一名自称属于Scattered Spider的威胁行为者在Telegram上表示，他们计划“消失”，并停止进一步讨论相关行动。

　　在最后一则贴子中，这些威胁行为者声称已攻破谷歌的执法机构请求系统（LERS，用于处理执法部门数据请求）以及FBI的eCheck平台（用于背景调查）。

　　BleepingComputer就此事联系谷歌，该公司确认其LERS平台确实出现了一个欺诈账号。

　　谷歌告知BleepingComputer：“我们发现系统中存在一个冒充执法机构请求的欺诈账号，目前已被禁用。”

　　“该账号未发出任何请求，也未访问任何数据。”

　　尽管威胁行为者声称将“退场”，但ReliaQuest的研究人员报告称，自2025年7月起，这些组织已开始针对金融机构发动攻击，预计仍会继续。

　　为防范此类数据盗窃行为，Salesforce提醒客户应遵循安全最佳实践，包括启用多因素认证（MFA）、落实最小权限原则，并谨慎管理已连接的应用程序。