谷歌6月4日(周三)表示,黑客通过诱骗欧洲和美洲企业员工安装一个经过修改的Salesforce相关应用,窃取大量数据,访问其他企业云服务,并对企业进行勒索。
谷歌威胁情报团队追踪到的黑客组织UNC6040,擅长通过电话欺骗员工访问一个假冒的Salesforce连接应用设置页面,从而批准未经授权的修改版Data Loader应用——这是Salesforce用于批量导入数据的官方工具。
研究人员表示,如果员工安装了这款应用,黑客就获得了“直接从受感染的Salesforce客户环境中访问、查询和泄露敏感信息的重要能力”。此外,这种访问权限常使黑客能够横向渗透客户网络,进而攻击其他云服务及企业内部网络。
研究人员指出,该攻击基础设施与被怀疑与名为“The Com”的松散网络有关,该网络由多个小规模团伙组成,涉及网络犯罪及有时的暴力行为。谷歌发言人告诉路透社,过去几个月大约有20家机构受到UNC6040攻击,其中部分机构的数据被成功窃取。
Salesforce发言人在邮件中表示,“目前没有迹象表明问题源于我们平台本身的漏洞”,并称电话诈骗是“有针对性的社会工程攻击,利用了用户网络安全意识和最佳实践上的漏洞。”发言人未透露受影响客户的具体数量,但称“仅知晓少数受影响客户”,且“这不是普遍性问题”。
Salesforce在2025年3月的一篇博客文章中警告客户注意语音网络钓鱼,或“钓鱼”攻击,以及黑客滥用恶意修改版本的Data Loader。
(图片源于CNN)
未经允许不得转载:城市新闻网icitynews » 谷歌曝光黑客新套路:假冒Salesforce应用诱骗员工窃取企业数据
