駭人聽聞！一次攻擊竊取了760家企業超15億條數據，涉多家財富500強

（來源：奇安信）

　　其中約2.5億條來自賬號表，5.79億條來自聯繫人表，1.71億條來自商機表，6000萬條來自用户表，約4.59億條來自案例表；

　　據悉，至少谷歌、派拓科技兩家財富500強，Cloudflare、Zscaler、Tenable、Elastic等大量上市公司均受影響。

　　安全內參消息，近日，勒索組織ShinyHunters宣稱，他們通過入侵Salesloft Drift的OAuth令牌，從760家公司竊取了超過15億條Salesforce記錄。

　　在過去一年中，這些威脅行為者針對Salesforce客户持續發動數據竊取攻擊，主要手段包括社會工程學和惡意OAuth應用，從而攻陷Salesforce實例並下載數據。隨后，他們利用被盜數據勒索企業，以泄露信息為威脅，迫使企業支付贖金。

　　據稱，這些攻擊由ShinyHunters、Scattered Spider和Lapsus$等勒索組織實施，他們目前自稱為「Scattered Lapsus$ Hunters」。谷歌將相關活動追蹤為UNC6040和UNC6395。

關鍵SaaS授權失陷，

客户數據全面失守

　　今年3月，其中一名威脅行為者攻破了Salesloft的GitHub代碼庫，獲取了該公司的私有源代碼。

　　ShinyHunters向外媒BleepingComputer透露，威脅行為者利用TruffleHog安全工具掃描源代碼以尋找敏感信息，最終發現了Salesloft Drift和Drift Email平臺的OAuth令牌。

　　Salesloft Drift是一個第三方平臺，它將Drift AI聊天代理與Salesforce實例連接，使組織能夠將對話、潛在客户和支持案例同步至CRM系統。Drift Email則用於管理郵件回覆，並整合CRM和營銷自動化數據庫。

　　ShinyHunters對BleepingComputer表示，攻擊者利用竊取的Drift OAuth令牌，從Salesforce的「賬號」「聯繫人」「案例」「商機」和「用户」等對象表中，盜取了760家公司約15億條數據。

　　具體來説，其中約2.5億條來自賬號表，5.79億條來自聯繫人表，1.71億條來自商機表，6000萬條來自用户表，約4.59億條來自案例表。

　　案例表通常存儲公司客户提交的支持工單內容和文本，對於科技公司而言，這類信息往往包含敏感數據。

　　為證明自己是此次攻擊的幕后黑手，相關威脅行為者分享了一份文本文件，其中列出了被攻破的Salesloft GitHub代碼庫中的源代碼文件夾。

　　BleepingComputer就被竊取的數據量和受影響公司的數量聯繫了Salesloft，但未獲回覆。不過，有消息源確認這些數字屬實。

攻擊者從竊取數據檢索敏感信息，

試圖發起二次攻擊

　　谷歌威脅情報部門（Mandiant）報告指出，攻擊者已對竊取的案例數據進行分析，以尋找潛藏的敏感信息，如憑證、身份驗證令牌和訪問密鑰，從而進一步滲透到其他環境。

　　谷歌解釋稱：「在數據被外泄后，攻擊者會在其中搜尋可能被用來入侵受害者環境的敏感信息。」

　　「谷歌威脅情報部門觀察到，UNC6395特別針對敏感憑證發動攻擊，包括亞馬遜雲計算服務（AWS）的訪問密鑰（AKIA）、密碼以及與Snowflake相關的訪問令牌。」

　　被竊取的Drift和Drift Email令牌已被用於大規模數據盜取行動，受害對象涵蓋谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、Jfrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks等眾多大型企業。

　　鑑於攻擊規模巨大，美國聯邦調查局（FBI）近日發佈警告，提示UNC6040和UNC6395相關威脅行為者的動向，並共享了在攻擊中發現的入侵指標（IOC）。

該團伙還針對谷歌、金融機構等持續發起攻擊

　　上周四，一名自稱屬於Scattered Spider的威脅行為者在Telegram上表示，他們計劃「消失」，並停止進一步討論相關行動。

　　在最后一則貼子中，這些威脅行為者聲稱已攻破谷歌的執法機構請求系統（LERS，用於處理執法部門數據請求）以及FBI的eCheck平臺（用於背景調查）。

　　BleepingComputer就此事聯繫谷歌，該公司確認其LERS平臺確實出現了一個欺詐賬號。

　　谷歌告知BleepingComputer：「我們發現系統中存在一個冒充執法機構請求的欺詐賬號，目前已被禁用。」

　　「該賬號未發出任何請求，也未訪問任何數據。」

　　儘管威脅行為者聲稱將「退場」，但ReliaQuest的研究人員報告稱，自2025年7月起，這些組織已開始針對金融機構發動攻擊，預計仍會繼續。

　　為防範此類數據盜竊行為，Salesforce提醒客户應遵循安全最佳實踐，包括啟用多因素認證（MFA）、落實最小權限原則，並謹慎管理已連接的應用程序。