FBI Alert: Two Cybercriminal Groups Are Actively Compromising Salesforce
8 months ago
- #FBI
- #cybersecurity
- #Salesforce
- 美国联邦调查局和国土安全部/网络安全与基础设施安全局发布FLASH警报(FLASH-20250912-001),警告关于网络犯罪组织UNC6040和UNC6395针对Salesforce实例的攻击行为。
- UNC6040利用语音钓鱼(vishing)手段诱骗呼叫中心员工分享Salesforce凭证,冒充IT支持人员。
- UNC6040的攻击手法包括凭证窃取、API滥用以及部署恶意连接应用以绕过多因素认证(MFA)。
- UNC6395通过窃取与Salesloft Drift(一款集成于Salesforce的AI聊天机器人)相关的OAuth令牌来窃取数据。
- Salesforce和Salesloft已于2025年8月20日撤销所有活跃的Drift令牌以切断未授权访问。
- 联邦调查局提供了包括IP地址、URL和用户代理字符串在内的两组攻击组织的入侵指标(IOCs)。
- 建议防御措施:培训呼叫中心员工、部署防钓鱼的多因素认证、实施最小权限访问控制、监控API使用、定期轮换API密钥并记录网络流量。