FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

美国联邦调查局（FBI）发布紧急警报，公布了两组被追踪为UNC6040和UNC6395的网络犯罪团伙在数据窃取和勒索攻击中使用的入侵指标（IoCs）。FBI表示："这两个组织近期被发现通过不同初始访问机制针对企业的Salesforce平台发起攻击。"

UNC6395利用Salesloft漏洞实施攻击

UNC6395是一个威胁组织，被指控在2025年8月利用Salesloft旗下Drift应用的OAuth令牌漏洞，对Salesforce实例发起大规模数据窃取活动。Salesloft本周发布的更新显示，此次攻击源于其GitHub账户在2025年3月至6月期间遭到入侵。

为此，Salesloft已隔离Drift基础设施并下线人工智能（AI）聊天机器人应用。该公司表示正在实施新的多因素认证流程和GitHub加固措施。"我们正专注于持续强化Drift应用环境，"该公司称，"包括轮换凭证、临时禁用Drift应用的某些功能以及加强安全配置。目前建议所有Drift客户将所有集成和相关数据视为可能已遭泄露。"

UNC6040采用钓鱼手段窃取数据

FBI关注的第二个组织UNC6040被谷歌评估为自2024年10月开始活跃。该组织通过语音钓鱼（vishing）活动获取初始访问权限，进而劫持Salesforce实例实施大规模数据窃取和勒索。

攻击者使用修改版的Salesforce Data Loader应用和自定义Python脚本入侵受害者Salesforce门户并窃取数据。部分事件中，UNC6040在初始数据窃取数月后还会实施勒索活动。"UNC6040攻击者在社会工程电话中引导受害者通过手机或工作电脑访问钓鱼面板，"FBI表示，"获取访问权限后，通过API查询批量窃取大量数据。"

黑客组织宣称"隐退"引质疑

谷歌将勒索阶段归因于另一个未分类集群UNC6240，该组织在与受害企业员工的邮件和通话中一直自称ShinyHunters。谷歌上月指出："我们认为使用'ShinyHunters'名义的攻击者可能正准备通过建立数据泄露网站（DLS）升级勒索策略，这些新策略可能旨在向受害者施压。"

此后事态迅速发展，最引人注目的是ShinyHunters、Scattered Spider和LAPSUS$宣布联合统一犯罪行动。但2025年9月12日，该组织又在Telegram频道"scattered LAPSUS$ hunters 4.0"宣布解散："我们LAPSUS$、Trihash等成员已实现目标，决定隐退。"

Unit 42咨询与威胁情报高级副总裁Sam Rubin表示："这种声明很少意味着真正退出。近期逮捕行动可能促使该组织暂时潜伏，但历史表明这种情况往往是暂时的。这类组织通常会分裂、重组并以新名义重现。"他警告称："即使公开行动暂停，风险依然存在：被盗数据可能重现，未检测的后门可能持续存在。企业必须保持警惕。"

参考来源：

FBI Warns of UNC6040 and UNC6395 Targeting Salesforce Platforms in Data Theft Attacks

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）