联邦调查局警告称，在数据盗窃攻击中针对 Salesforce 平台的UNC6040和UNC6395

美国联邦调查局 （FBI） 发布了快速警报，以发布与两个网络犯罪组织相关的入侵指标 （IoC），这些组织被追踪为一系列数据盗窃和勒索攻击的UNC6040和UNC6395。

“最近观察到这两个组织通过不同的初始访问机制针对组织的 Salesforce 平台，”联邦调查局表示。

UNC6395 是一个威胁组织，该组织被归因于 2025 年 8 月针对 Salesforce 实例的广泛数据盗窃活动，利用 Salesloft Drift 应用程序的受损 OAuth 代币。在本周发布的更新中，Salesloft 表示，由于 2025 年 3 月至 6 月期间其 GitHub 帐户遭到破坏，因此导致了这次攻击。

由于此次泄露，Salesloft 隔离了 Drift 基础设施，并使人工智能 （AI） 聊天机器人应用程序离线。该公司还表示，它正在实施新的多因素身份验证流程和 GitHub 强化措施。

“我们专注于 Drift 应用程序环境的持续强化，”该公司表示。“此过程包括轮换凭据、暂时禁用 Drift 应用程序的某些部分以及加强安全配置。”“目前，我们建议所有 Drift 客户将任何和所有 Drift 集成和相关数据视为可能受到损害。”

联邦调查局呼吁关注的第二个群体是UNC6040。UNC6040 被评估为自 2024 年 10 月以来活跃，是谷歌分配给一个出于经济动机的威胁集群的名称，该集群参与网络钓鱼活动以获得初始访问权限并劫持 Salesforce 实例进行大规模数据盗窃和勒索。

这些攻击涉及使用 Salesforce 数据加载器应用程序的修改版本和自定义 Python 脚本来破坏受害者的 Salesforce 门户并窃取有价值的数据。至少其中一些事件涉及UNC6040入侵后的勒索活动，这些活动发生在最初的数据被盗几个月后。

联邦调查局表示：“UNC6040威胁行为者利用网络钓鱼小组，在社会工程通话期间引导受害者通过手机或工作电脑进行访问。” “获得访问权限后，UNC6040威胁行为者随后使用 API 查询批量窃取大量数据。”

谷歌将勒索阶段归因于另一个被追踪为 UNC6240 的未分类集群，该集群在给受害者组织员工的电子邮件和电话中一直声称自己是 ShinyHunters 组织。

“此外，我们认为使用’ShinyHunters’品牌的威胁行为者可能正准备通过启动数据泄露网站 （DLS） 来升级他们的勒索策略，”谷歌上个月指出。“这些新策略可能旨在增加受害者的压力，包括与最近 UNC6040 起 Salesforce 相关数据泄露事件相关的压力。”

从那时起，出现了一系列进展，最引人注目的是 ShinyHunters、Scattered Spider 和 LAPSUS$ 联手巩固和统一他们的犯罪活动。然后在 2025 年 9 月 12 日，该组织在他们的 Telegram 频道上声称他们正在关闭“分散的 LAPSUS$ 猎人 4.0”。

“我们 LAPSUS$、Trihash、Yurosh、Yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Clown、IntelBroker、Scattered Spider、Yukari 等，已经决定变黑，”该组织说。“我们的目标已经实现，现在是时候说再见了。”

目前尚不清楚是什么促使该组织挂靴，但此举可能是为了保持低调并避免进一步的执法部门关注。

“新成立的分散的 LAPSUS$ 猎人 4.0 组织表示，在声称法国执法部门逮捕了另一个与网络犯罪组织有关的错误人后，它正在挂靴并’走向黑暗’，”Unit 42 咨询和威胁情报高级副总裁 Sam Rubin 告诉 The Hacker News。“这些声明很少预示着真正的退休。”

“最近的逮捕可能促使该组织保持低调，但历史告诉我们，这往往是暂时的。像这样的团体分裂、重塑品牌并重新出现——就像 ShinyHunters 一样。即使公共运营暂停，风险仍然存在：被盗数据可能会重新出现，未被发现的后门可能会持续存在，参与者可能会以新名称重新出现。威胁群体的沉默并不等于安全。组织必须保持警惕，并在威胁没有消失，只是适应的假设下运作。