如何在Salesforce攻击中攻破谷歌、阿迪达斯、路易威登等巨头

抖音推荐 2025年08月18日 14:16 1 admin

2025 年，网络安全领域经历了一场复杂且持续的攻击活动，成功入侵了包括谷歌、阿迪达斯、路易威登和许多其他知名企业在内的大公司。

这项全面的技术分析揭示了臭名昭著的网络犯罪集团ShinyHunters如何与 Scattered Spider 合作，针对 Salesforce 客户关系管理 (CRM) 平台实施了最成功的社会工程活动之一。

此次活动代表了攻击复杂程度的重大演变，它将传统的语音网络钓鱼技术与先进的OAuth 滥用和 API 利用相结合，实现了跨多个行业部门的持续访问和大规模数据泄露。

攻击链

背景和威胁组织归因

ShinyHunters 于 2020 年出现，是一个以经济利益为目的的网络犯罪集团，最初专注于传统的凭证盗窃和数据库利用。

该组织因影响主要平台的重大数据泄露事件而声名狼藉，包括 Tokopedia（9100 万条记录）、Microsoft GitHub（500GB 数据）和 AT&T（7000 多万条记录）。

除了数据盗窃行动之外，ShinyHunters 还担任热门黑客论坛（包括 BreachForums 的多个版本）的管理员，从而成为网络犯罪生态系统中的关键参与者。

在 2024 年 6 月逮捕几名涉嫌成员后，ShinyHunters 一直保持相对不活跃状态，直到 2025 年 6 月才凭借根本性的战术、技术和程序更新 (TTP) 快速复活。

确凿的间接证据表明，ShinyHunters 与Scattered Spider之间存在积极合作。Scattered Spider 是一个精通英语的网络犯罪团伙，以擅长社会工程学而闻名。该合作理论得到了多项关键指标的支持。

战术融合：当前的 ShinyHunters 活动明显采用了 Scattered Spider 的签名技术，包括高度针对性的语音网络钓鱼、域名模拟模式和 VPN 混淆方法。

基础设施重叠：域名注册分析揭示了共享的基础设施特征，包括类似的命名约定（ticket-companyname[.]com）、通用注册商（GMO Internet）和 Cloudflare 屏蔽的名称服务器。

归因证据：2024 年 5 月，一位名为“Sp1d3rhunters”的 BreachForums 用户出现，声称这两个组织“是同一个”且“一直都是同一个”，随后泄露了之前归因于 ShinyHunters 的数据。

这两个团伙都与“The Com”有联系，“The Com”是一个组织松散的英语网络犯罪团伙，从事各种非法活动，包括SIM 卡交换、账户接管、加密货币盗窃以及更极端的犯罪活动。

战术、技术和攻击方法

初始访问：语音网络钓鱼（Vishing）操作

攻击链始于针对拥有适当Salesforce权限的员工进行复杂语音钓鱼活动。攻击者使用多种社会工程技术冒充内部 IT 支持人员：

侦察阶段：攻击者进行广泛的开源情报收集，从 LinkedIn、公司目录和公共来源收集员工联系信息，以识别具有 Salesforce 管理权限的高价值目标。

主动呼叫：攻击者使用伪造的来电显示、语音修改软件以及听起来很专业的脚本发起呼叫，声称存在与 Salesforce 相关的紧急问题，需要立即处理。一些攻击活动会使用带有预录消息和交互式菜单的自动电话系统，以便在连接到人工客服之前收集额外侦察信息。

信任建立：社会工程方法利用员工和 IT 支持之间固有的信任关系，利用紧迫性和权威来绕过正常的验证程序。

OAuth 滥用：恶意连接应用程序授权

核心技术漏洞集中在操纵 Salesforce 基于 OAuth 的连接应用程序授权机制：

ShinyHunters Salesforce OAuth 滥用攻击

连接的应用程序设置操纵：在网络钓鱼呼叫期间，攻击者引导受害者进入 Salesforce 的连接应用程序授权页面（通常是 login.salesforce.com/setup/connect），指示他们授权看似合法的软件。

恶意应用程序部署：攻击者提供 Salesforce 合法数据加载器应用程序的修改版本，并经常使用“我的工单”等误导性名称，以配合社会工程学的借口。这些应用程序请求广泛的 API 权限，包括数据导出功能。

8 位授权码：受害者输入攻击者提供的 8 位授权码，无意中授予具有广泛 API 访问权限的持久 OAuth 令牌。此过程绕过了多因素身份验证要求，并在不触发标准安全警报的情况下建立了长期访问权限。

连接的应用程序 ID：分析 Salesforce 事件监控日志后发现，恶意连接的应用程序 ID 889Kb100000KFJc 与可疑数据泄露活动有关。此标识符表示未经授权的应用程序正在跨多个受害组织执行大容量数据查询。

一旦建立 OAuth 访问，攻击者就会部署复杂的数据提取技术：

REST API 利用：攻击者利用 Salesforce 的合法 REST API 端点/services/data/v62.0/query执行针对高价值数据对象的批量 SOQL（Salesforce 对象查询语言）查询。

自动提取脚本：GTIG 观察到，合法的数据加载器应用程序正在演变为执行类似功能但自动化功能增强的自定义 Python 脚本。这些脚本能够快速、大规模地提取数据，同时模仿合法 API 的使用模式。

数据量和攻击目标：每个提取请求通常检索约 2.3 MB 的数据，攻击主要针对每条记录包含 400 多个字段的联系人对象。攻击者对 Salesforce 数据结构有着深入的理解，主要攻击客户数据库、个人身份信息 (PII) 和商业智能。

流量混淆：所有数据泄露活动都通过Mullvad VPN IP 地址和 Tor 网络进行，以增加归因难度并规避检测。这种多层混淆方法严重阻碍了事件响应和取证分析工作。

横向移动和权限提升

在最初入侵 Salesforce 之后，攻击者经常尝试横向移动到相邻的云平台。

凭证收集：使用收集的凭证和 OAuth 令牌，攻击者可以访问包括 Okta、Microsoft 365 和 Meta Workplace 在内的集成平台。

跨平台数据访问：攻击者利用单点登录 (SSO) 关系和共享身份验证机制来访问 SharePoint 存储库、电子邮件系统和其他数据存储。

权限提升：通过社会工程和凭证操纵，攻击者可以提升目标组织内的访问权限，从而可能获得其他系统的管理权限。

综合战术、技术和程序（TTP）

下表提供了观察到的 ShinyHunters TTP 到MITRE ATT&CK框架的详细映射：

已确认的受害者

该活动影响了多个行业的组织，已确认和疑似受害者涉及科技、奢侈品、航空、保险和零售业：

金城南京机电研究中心申请双余度控制器主备通道判别方法专利，实现两通道重新上电后的主备交替工作

OpenAI夺金IOI，但输给3位中国高中生

发表评论