据Google观察,黑客团体ShinyHunters正在对跨国公司实施社交工程攻击,目标是盗取企业Salesforce平台的数据。根据Google的威胁情报小组(GTIG)追踪的威胁集群“UNC6040”,这些攻击通过语音钓鱼手段锁定英语员工,诱骗他们连接修改过的Salesforce Data Loader应用。
攻击者假冒IT支持人员,要求目标员工接受与Salesforce Data Loader的连接请求。这款客户端应用允许用户在Salesforce环境中导入、导出、更新或删除数据。
UNC6040是一个以财务利益为动机的威胁集群,通过语音钓鱼社交工程手段进入受害者网络。一旦获得访问权限,UNC6040立即利用Salesforce的Data Loader应用从受害者的Salesforce环境中提取数据,然后横向移动到其他平台如Okta、Microsoft 365和Workplace。
在某些情况下,数据提取过程因检测到未授权活动而被保护系统提前终止。威胁行为者似乎意识到了这种风险,尝试了各种数据包大小以在攻击升级前规避检测。