美国联邦调查局 (FBI) 发布了一条闪电警报,详细介绍了两个网络犯罪组织 UNC6040 和 UNC6395 的活动,它们正在积极破坏 Salesforce 环境以窃取数据以进行勒索。
该公告由联邦调查局于 2025 年 9 月 12 日发布,提供了妥协指标 (IOC) 和防御措施,以帮助组织防范这些利用不同策略来实现其目标的持续活动。
以下是 Salesforce/Salesloft 漂移数据泄露的教训 – 详细案例研究的详细报道。
UNC6040的社会工程运动
至少自 2024 年 10 月以来,该组织被追踪为UNC6040一直在使用社会工程,特别是语音网络钓鱼(网络钓鱼)来获得初始访问权限。
威胁行为者冒充 IT 支持人员致电组织的服务台,试图解决虚假的技术问题。在这些通话中,他们说服员工共享他们的凭据或授予攻击者访问公司 Salesforce 实例的权限。
一个关键策略涉及诱骗员工在 Salesforce 门户中授权恶意“连接的应用程序”。此应用程序通常是合法 Salesforce Data Loader 工具的修改版本。
通过说服具有足够权限的用户批准应用程序,UNC6040 可以通过 Salesforce 颁发的 OAuth 令牌获得持久访问权限。
此方法可以绕过多重身份验证 (MFA) 和密码重置等安全控制,因为该活动似乎源自受信任的集成应用程序。
然后,攻击者使用 API 查询窃取大量数据。数据被盗后,一些受害者收到了臭名昭著的“ShinyHunters”组织的勒索电子邮件,要求付款以防止公开发布被盗信息。
UNC6395利用第三方集成
第二组 UNC6395 采用不同的方法来破坏 Salesforce 实例。2025 年 8 月,这些行为者利用了与 Salesloft Drift 应用程序相关的受损 OAuth 代币,Salesloft Drift 应用程序是一款与 Salesforce 集成的人工智能聊天机器人。
通过使用这些受损的第三方令牌,该组织能够访问受害者的 Salesforce 环境并窃取数据,这凸显了第三方应用程序集成带来的安全风险。
为了响应此活动,Salesloft 和 Salesforce 合作于 2025 年 8 月 20 日撤销了 Drift 应用程序的所有有效访问和刷新令牌。此作通过此特定vector.250912.pdf成功终止了威胁行为者对受感染 Salesforce 平台的访问
FBI 发布了广泛的 IOC 列表,包括 IP 地址、恶意 URL 以及与 UNC6040 和 UNC6395 相关的用户代理字符串,以帮助网络防御者检测和阻止相关活动。该机构强烈建议组织采取多项措施来降低泄露风险。
当然,这是带有入侵指标的表格,IP 地址的格式是按请求的。
UNC6040 妥协指标
| IoC 类型 | 指示器 |
|---|---|
| IP地址 | 13.67.175[.]79 |
| IP地址 | 20.190.130[.]40 |
| IP地址 | 20.190.151[.]38 |
| IP地址 | 20.190.157[.]160 |
| IP地址 | 20.190.157[.]98 |
| IP地址 | 23.145.40[.]165 |
| IP地址 | 23.145.40[.]167 |
| IP地址 | 23.145.40[.]99 |
| IP地址 | 23.162.8[.]66 |
| IP地址 | 23.234.69[.]167 |
| IP地址 | 23.94.126[.]63 |
| IP地址 | 31.58.169[.]85 |
| IP地址 | 31.58.169[.]92 |
| IP地址 | 31.58.169[.]96 |
| IP地址 | 34.86.51[.]128 |
| IP地址 | 35.186.181[.]1 |
| IP地址 | 37.19.200[.]132 |
| IP地址 | 37.19.200[.]141 |
| IP地址 | 37.19.200[.]154 |
| IP地址 | 37.19.200[.]167 |
| IP地址 | 37.19.221[.]179 |
| IP地址 | 38.22.104[.]226 |
| IP地址 | 45.83.220[.]206 |
| IP地址 | 51.89.240[.]10 |
| IP地址 | 64.95.11[.]225 |
| IP地址 | 64.95.84[.]159 |
| IP地址 | 66.63.167[.]122 |
| IP地址 | 67.217.228[.]216 |
| IP地址 | 68.235.43[.]202 |
| IP地址 | 68.235.46[.]22 |
| IP地址 | 68.235.46[.]202 |
| IP地址 | 68.235.46[.]151 |
| IP地址 | 68.235.46[.]208 |
| IP地址 | 68.63.167[.]122 |
| IP地址 | 69.246.124[.]204 |
| IP地址 | 72.5.42[.]72 |
| IP地址 | 79.127.217[.]44 |
| IP地址 | 83.147.52[.]41 |
| IP地址 | 87.120.112[.]134 |
| IP地址 | 94.156.167[.]237 |
| IP地址 | 96.44.189[.]109 |
| IP地址 | 96.44.191[.]141 |
| IP地址 | 96.44.191[.]157 |
| IP地址 | 104.223.118[.]62 |
| IP地址 | 104.193.135[.]221 |
| IP地址 | 141.98.252[.]189 |
| IP地址 | 146.70.165[.]47 |
| IP地址 | 146.70.168[.]239 |
| IP地址 | 146.70.173[.]60 |
| IP地址 | 146.70.185[.]47 |
| IP地址 | 146.70.189[.]47 |
| IP地址 | 146.70.189[.]111 |
| IP地址 | 146.70.198[.]112 |
| IP地址 | 146.70.211[.]55 |
| IP地址 | 146.70.211[.]119 |
| IP地址 | 146.70.211[.]183 |
| IP地址 | 147.161.173[.]90 |
| IP地址 | 149.22.81[.]201 |
| IP地址 | 151.242.41[.]182 |
| IP地址 | 151.242.58[.]76 |
| IP地址 | 163.5.149[.]152 |
| IP地址 | 185.141.119[.] 136 |
| IP地址 | 185.141.119[.] 138 |
| IP地址 | 185.141.119[.] 151 |
| IP地址 | 185.141.119[.] 166 |
| IP地址 | 185.141.119[.] 168 |
| IP地址 | 185.141.119[.] 181 |
| IP地址 | 185.141.119[.]184 |
| IP地址 | 185.141.119[.]185 |
| IP地址 | 185.209.199[.]56 |
| IP地址 | 191.96.207[.]201 |
| IP地址 | 192.198.82[.]235 |
| IP地址 | 195.54.130[.]100 |
| IP地址 | 196.251.83[.]162 |
| IP地址 | 198.44.129[.]56 |
| IP地址 | 198.44.129[.]88 |
| IP地址 | 198.244.224[.]200 |
| IP地址 | 198.54.130[.]100 |
| IP地址 | 198.54.130[.]108 |
| IP地址 | 198.54.133[.]123 |
| IP地址 | 205.234.181[.]14 |
| IP地址 | 206.217.206[.]14 |
| IP地址 | 206.217.206[.]25 |
| IP地址 | 206.217.206[.]26 |
| IP地址 | 206.217.206[.]64 |
| IP地址 | 206.217.206[.]84 |
| IP地址 | 206.217.206[.]104 |
| IP地址 | 206.217.206[.]124 |
| IP地址 | 208.131.130[.]53 |
| IP地址 | 208.131.130[.]71 |
| IP地址 | 208.131.130[.]91 |
| 网址 | 登录[.]销售[.]com/setup/connect?user_code=aKYF7V5N |
| 网址 | Login.salesforce.com/setup/connect?user_code=8KCQGTVU |
| 网址 | https://help[受害者][.]com |
| 网址 | https://login[.]销售[.]com/setup/connect |
| 网址 | http://64.95.11[.]112/hello.php |
| 网址 | 91.199.42.164/登录 |
UNC6395 妥协指标
| IoC 类型 | 指示器 |
|---|---|
| IP地址 | 208.68.36[.]90 |
| IP地址 | 44.215.108[.]109 |
| IP地址 | 154.41.95[.]2 |
| IP地址 | 176.65.149[.]100 |
| IP地址 | 179.43.159[.]198 |
| IP地址 | 185.130.47[.]58 |
| IP地址 | 185.207.107[.]130 |
| IP地址 | 185.220.101[.]33 |
| IP地址 | 185.220.101[.]133 |
| IP地址 | 185.220.101[.]143 |
| IP地址 | 185.220.101[.]164 |
| IP地址 | 185.220.101[.]167 |
| IP地址 | 185.220.101[.]169 |
| IP地址 | 185.220.101[.]180 |
| IP地址 | 185.220.101[.]185 |
| IP地址 | 192.42.116[.]20 |
| IP地址 | 192.42.116[.]179 |
| IP地址 | 194.15.36[.]117 |
| IP地址 | 195.47.238[.]83 |
| IP地址 | 195.47.238[.]178 |
| 用户代理 | Salesforce-多组织-提取器/1.0 |
| 用户代理 | Salesforce-CLI/1.0 |
| 用户代理 | python-请求/2.32.4 |
| 用户代理 | 蟒蛇/3.11 aiohttp/3.12.15 |
主要建议包括培训员工,尤其是呼叫中心员工,以识别和报告网络钓鱼和网络钓鱼尝试。
FBI 还建议在所有可能的服务中实施防网络钓鱼 MFA,对用户帐户应用最小权限原则,并实施严格的基于 IP 的访问限制。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
