河北
- 兩個威脅團伙,UNC6040 和 UNC6395,正在積極針對 Salesforce 賬戶竊取敏感數(shù)據(jù)
- UNC6395 利用 Salesloft Drift 聊天機器人等集成,而 UNC6040 則通過電話社交工程冒充 IT 員工以獲取訪問權(quán)限
- 聯(lián)邦調(diào)查局警告,后續(xù)的敲詐攻擊通常是由與 Scattered Spider 相關(guān)的 ShinyHunters 發(fā)起的
目前有兩個獨立的威脅行為者正在針對組織的 Salesforce 賬戶竊取敏感數(shù)據(jù)。這是美國聯(lián)邦調(diào)查局(FBI)最近發(fā)布的一份 FLASH 通告,警告企業(yè)注意持續(xù)的威脅。
“聯(lián)邦調(diào)查局(FBI)發(fā)布此 FLASH 通告,傳播與最近網(wǎng)絡犯罪團伙 UNC6040 和 UNC6395 相關(guān)的妥協(xié)指標(IOCs),”該機構(gòu)在其通告中表示。
“最近觀察到這兩個團伙通過不同的初始訪問方式攻擊組織的 Salesforce 平臺。FBI 發(fā)布此信息是為了提高大家的警覺,并提供可能用于研究和網(wǎng)絡防御的 IOCs。”
分散的蜘蛛與閃亮獵手
最近有很多報道,網(wǎng)絡犯罪分子通過Salesloft Drift應用程序侵入了公司的Salesforce賬戶,這個應用程序是一個可以與Salesforce集成的AI聊天機器人。
聯(lián)邦調(diào)查局將這個組織稱為UNC6395,顯然它攻擊了一些最大的科技和安全公司,包括Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks等。
另一個團體,UNC6040,通過欺騙受害者分享訪問權(quán)限來獲得訪問權(quán)限。他們會打電話給受害者,假裝成IT支持員工,處理企業(yè)內(nèi)部的連接問題。
FBI表示:“以關(guān)閉自動生成的工單為幌子,UNC6040的成員欺騙客戶支持員工采取行動,進而授予攻擊者的訪問權(quán)限,或者導致員工憑證被共享,讓他們能夠訪問目標公司的Salesforce實例,從而提取客戶數(shù)據(jù)。”
一個被稱為 Scattered Spider 的威脅團伙已掌握了這一技術(shù)。雖然 FBI 在公告中沒有提到該團伙,但表示后續(xù)的勒索攻擊通常是由 ShinyHunters 發(fā)起的,該團伙與 Scattered Spider 有合作關(guān)系。在某個時候,這些團伙甚至合并成一個他們稱為 ScatteredLapsus$Hunters 的組織。
來源:BleepingComputer
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
