江蘇
關鍵詞
黑客
谷歌披露新型云端攻擊鏈:黑客團伙偽裝IT支持實施語音釣魚,瞄準歐美零售、酒店及教育行業
攻擊手法升級:利用Salesforce工具+社會工程學竊取數據
谷歌威脅情報團隊周三發布報告指出,一個自稱“The Community”(簡稱Com)的青少年黑客組織正通過語音釣魚(vishing)和惡意軟件組合攻擊,針對歐美酒店、零售及教育行業的云服務展開數據竊取。該活動被谷歌追蹤為UNC6040,已影響約20家機構。
核心攻擊鏈解析
偽裝IT支持誘導下載惡意軟件
攻擊者首先致電目標企業的員工,冒充技術支持人員,誘騙其安裝Salesforce Data Loader的篡改版本(一款合法的數據導入工具)。
通過電話指導受害者輸入所謂的“連接代碼”,實際授予攻擊者直接訪問Salesforce環境的權限,繞過常規安全防護。
橫向移動竊取多平臺數據
攻擊者利用竊取的憑證在目標網絡內橫向移動,進一步入侵Okta(身份認證平臺)、Microsoft 365及企業內部協作工具Workplace,竊取敏感數據。
谷歌旗下Mandiant團隊發現,該組織使用的Okta釣魚基礎設施與其他已知攻擊存在關聯。
延遲勒索與數據泄露威脅
部分受害企業在初始入侵數月后才收到勒索要求,暗示UNC6040可能與其他專門從事數據變現的黑客團伙存在合作。
- 基礎設施重疊
:谷歌觀察到此次攻擊使用的服務器與此前歸因于UNC6040及“The Com”組織的攻擊存在共同特征。
- Scattered Spider疑似參與
:該組織主要由英美青少年黑客組成,曾于5月入侵英國零售巨頭瑪莎百貨(Marks & Spencer)、哈羅德百貨(Harrods)及合作社集團(Co-op),導致服務中斷(詳見此前報道)。
- Salesforce聲明
:公司表示攻擊并非利用系統漏洞,而是通過社會工程學欺騙用戶,強調“無證據表明其平臺存在技術缺陷”。
- 英國警方預警
:英國內政部網絡安全官員指出,隨著對俄語黑客團伙的打擊加劇,英語國家(如美、英、澳)的低技術但高效率的黑客組織正快速崛起。英國國家警察局長委員會網絡犯罪部門負責人杰里米·班克斯表示:“這些團伙戰術簡單但極具破壞性,已成為新的主要威脅。”
- 強化員工培訓
:警惕冒充IT支持的電話釣魚,嚴禁通過電話輸入敏感信息或安裝軟件。
- 限制工具權限
:對Salesforce Data Loader等高危工具實施最小權限訪問,并監控異常登錄行為。
- 多因素認證(MFA)
:確保Okta、Microsoft 365等平臺啟用強驗證機制,阻斷憑證竊取后的橫向移動。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
