黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台

admin 2025年6月9日01:41:56评论10 views字数 1129阅读3分45秒阅读模式
黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台

关键词

黑客

谷歌披露新型云端攻击链:黑客团伙伪装IT支持实施语音钓鱼,瞄准欧美零售、酒店及教育行业

黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台

攻击手法升级:利用Salesforce工具+社会工程学窃取数据

谷歌威胁情报团队周三发布报告指出,一个自称“The Community”(简称Com)的青少年黑客组织正通过语音钓鱼(vishing)和恶意软件组合攻击,针对欧美酒店、零售及教育行业的云服务展开数据窃取。该活动被谷歌追踪为UNC6040,已影响约20家机构。

核心攻击链解析

  1. 伪装IT支持诱导下载恶意软件

    • 攻击者首先致电目标企业的员工,冒充技术支持人员,诱骗其安装Salesforce Data Loader的篡改版本(一款合法的数据导入工具)。
    • 通过电话指导受害者输入所谓的“连接代码”,实际授予攻击者直接访问Salesforce环境的权限,绕过常规安全防护。
  2. 横向移动窃取多平台数据

    • 攻击者利用窃取的凭证在目标网络内横向移动,进一步入侵Okta(身份认证平台)、Microsoft 365及企业内部协作工具Workplace,窃取敏感数据。
    • 谷歌旗下Mandiant团队发现,该组织使用的Okta钓鱼基础设施与其他已知攻击存在关联。
  3. 延迟勒索与数据泄露威胁

    • 部分受害企业在初始入侵数月后才收到勒索要求,暗示UNC6040可能与其他专门从事数据变现的黑客团伙存在合作。

攻击溯源与关联团伙

  • 基础设施重叠
    :谷歌观察到此次攻击使用的服务器与此前归因于UNC6040及“The Com”组织的攻击存在共同特征。
  • Scattered Spider疑似参与
    :该组织主要由英美青少年黑客组成,曾于5月入侵英国零售巨头玛莎百货(Marks & Spencer)哈罗德百货(Harrods)合作社集团(Co-op),导致服务中断(详见此前报道)。

行业与安全机构回应

  • Salesforce声明
    :公司表示攻击并非利用系统漏洞,而是通过社会工程学欺骗用户,强调“无证据表明其平台存在技术缺陷”。
  • 英国警方预警
    :英国内政部网络安全官员指出,随着对俄语黑客团伙的打击加剧,英语国家(如美、英、澳)的低技术但高效率的黑客组织正快速崛起。英国国家警察局长委员会网络犯罪部门负责人杰里米·班克斯表示:“这些团伙战术简单但极具破坏性,已成为新的主要威胁。”

防御建议

  1. 强化员工培训
    :警惕冒充IT支持的电话钓鱼,严禁通过电话输入敏感信息或安装软件。
  2. 限制工具权限
    :对Salesforce Data Loader等高危工具实施最小权限访问,并监控异常登录行为。
  3. 多因素认证(MFA)
    :确保Okta、Microsoft 365等平台启用强验证机制,阻断凭证窃取后的横向移动。

  END  

原文始发于微信公众号(安全圈):【安全圈】黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月9日01:41:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台https://cn-sec.com/archives/4146953.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息