ShinyHunters通过Salesforce攻击谷歌:低技术黑客如何击垮科技巨头

文章详细分析了ShinyHunters黑客组织如何通过社会工程学手段入侵Salesforce实例,窃取谷歌等企业的数据,并探讨了攻击手法的演变与防御策略,涉及多因素认证、访问控制等技术细节。

报复:ShinyHunters通过Salesforce攻击谷歌

2024年是Snowflake,2025年是Salesforce。ShinyHunters卷土重来,凭借低技术黑客手段成功攻破了谷歌、思科和阿迪达斯等国际巨头。

ShinyHunters网络犯罪集体通过科技巨头谷歌的Salesforce实例窃取了企业数据。这仅仅是近几个月来袭击全球主要企业的一系列神秘犯罪事件之一。阿迪达斯、潘多拉、安联、蒂芙尼、迪奥、路易威登都未能幸免。就像小镇上一系列未解决的谋杀案一样,这些攻击似乎都有一个共同特征。

有些公司如澳航对此讳莫如深,仅模糊提及"包含客户数据的平台"。其他如思科则稍微具体一些,提到了第三方客户关系管理(CRM)平台。现在可以确定它们的共同点:都是Salesforce。

6月4日,谷歌威胁情报小组介入协助。它发布了一篇博客文章,介绍了一个被追踪为UNC6040的网络犯罪组织,该组织与臭名昭著的ShinyHunters集体有关联。文章详细说明了UNC6040最新的战术、技术和程序(TTP)——特别是复杂的语音钓鱼(vishing)——这些手段被用来直接攻击Salesforce中的受害者。在文章末尾,谷歌提供了防范此类攻击的指导。

然而就在同月,攻击者就成功入侵了谷歌本身。

Sectigo高级研究员Jason Soroko表示:“谷歌发布了防御指南却仍然丢失了数据,这表明一旦内部人员同意绕过安全控制,分层防御就会崩溃。UNC6040和ShinyHunters已经将语音钓鱼工业化,用以渗透第三方SaaS的薄弱环节,那里较小的安全团队往往依赖供应商的默认设置。他们不是在发明零日漏洞利用,而是在武器化耐心和品牌营销。”

夏季SaaS窃取狂潮

去年,ShinyHunters对企业云环境造成了严重破坏,甚至不需要真正进行黑客攻击。相反,他们使用信息窃取器获取的旧但有效的凭证,并利用缺失的多因素认证(MFA)来入侵企业的Snowflake云存储账户。结果:成功攻击了约165个组织,包括AT&T、桑坦德银行、内曼·马库斯和Ticketmaster等家喻户晓的品牌。

今年,攻击手册有所不同,但基本框架相当相似:不需要漏洞或利用,只需要一点人为错误。

正如谷歌在6月那篇决定性的博客文章中所解释的,攻击者这次首先通过打电话给员工,假装是组织的IT人员。他们说服员工安装看似是Salesforce应用程序的"Data Loader"——用于批量数据操作的工具。该应用程序实际上是一个特洛伊木马——经过修改的真实版本,授予攻击者访问客户环境的权限。谷歌发布了一些通用的加固和缓解此类攻击的步骤,如实施严格的访问控制和限制系统对特定IP的访问。

实际上,这些措施似乎还不够。8月5日,谷歌更新了博客,披露自己"受到类似UNC6040活动的影响"。在该案例中,受影响的Salesforce实例用于存储与中小型客户相关的联系信息和备注。公司声称UNC6040的访问在"很短的时间窗口内"被切断,并且只窃取了"基本且大部分公开可用的商业信息,如企业名称和联系方式"。

除了链接到自己的博客文章外,谷歌和Salesforce都选择不向Dark Reading提供有关事件的进一步信息。然而,Bleeping Computer通过直接与攻击者沟通发现了一些有价值的信息。该组织称其受害者之一为"万亿美元公司"——全球仅有10家这样的公司,谷歌就是其中之一——并威胁要泄露其数据,甚至懒得进行勒索。

ShinyHunters究竟是谁?

不仅ShinyHunter的战术、技术和程序(TTP)自去年以来不断演变和多样化,甚至自6月以来也在变化。正如谷歌在8月5日的更新中指出的,UNC6040现在使用Mullvad VPN和TOR IP,以及自定义Python脚本来替代修改后的Data Loader应用程序。

ShinyHunters并不是传统意义上不断演变和成长的威胁行为者。它更像是一个唐纳德·特朗普式的MAGA品牌名称,被多个具有自己方法的威胁行为者借用。

Aryaka安全工程和人工智能(AI)战略副总裁Aditya Sood解释说:“对网络犯罪分子来说,这个品牌名称是纯金。它在暗网上提供即时信誉,为被盗数据指令更高价格,并为他们提供勒索的杠杆。通过使用一个以成功、高调入侵而闻名的名称,他们可以在心理上恐吓受害者支付赎金。”

另一方面,“这种去中心化模式对网络安全来说是一场噩梦。它使攻击归因变成’贝壳游戏’。[在任何特定情况下的攻击者]是核心成员、新附属机构,还是仅仅为了影响力而使用该名称的随机行为者?这种模糊性阻止防御者建立一致的攻击者画像,使威胁追踪和预测未来攻击的能力复杂化。”

他总结道:“实际上,ShinyHunters品牌允许个别犯罪分子以军队的声誉运作。”

加强环境防御社会工程学的时候到了

现在比以往任何时候都更需要防御者迅速应对ShinyHunters式的挑战,特别是随着社会工程学技术变得越来越精湛。

根据谷歌的博客文章,“这次活动强调了云安全共享责任模型的重要性。虽然像Salesforce这样的平台提供强大的企业级安全控制,但客户必须根据最佳实践配置和管理访问、权限和用户培训。”

为了防御社会工程学威胁,Salesforce安全指南和谷歌提供了一系列缓解措施,但据Sectigo的Soroko所说,安全团队应该更深入。

他指出:“现在有效的防御需要为每个特权SaaS管理员配备具有硬件令牌的防钓鱼MFA,连接应用程序的允许列表,调整到不可能旅行信号的条件访问,以及一个始终在线的终止开关,可在几分钟内撤销企业范围内的OAuth令牌。安全团队还应运行红队语音钓鱼演练,监控新的Salesforce连接应用程序注册,记录帮助台通话以进行异常检测,并要求任何CRM导出必须由不同团队的两个人员批准。这些措施在不依赖完美用户判断的情况下提高了社会工程学的成本。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次