FBI 警告 UNC6040 和 UNC6395 法案将针对 Salesforce 平台发起数据盗窃攻击

美国联邦调查局 (FBI) 发布了紧急警报，公布了与两个网络犯罪集团 UNC6040 和 UNC6395 相关的入侵指标 (IoC)，这两个网络犯罪集团实施了一系列数据盗窃和勒索攻击。

联邦调查局表示：“最近发现这两个组织都通过不同的初始访问机制瞄准了各组织的 Salesforce 平台。”

UNC6395 是一个威胁组织，据称其在 2025 年 8 月针对 Salesforce 实例发起了大规模数据窃取活动，利用了 Salesloft Drift 应用程序的 OAuth 令牌漏洞。Salesloft 在本周发布的更新中表示，此次攻击是由于其 GitHub 帐户在 2025 年 3 月至 6 月期间遭到入侵而导致的。

由于此次数据泄露，Salesloft 已隔离Drift 基础设施，并下线了其人工智能 (AI) 聊天机器人应用程序。该公司还表示，正在实施新的多因素身份验证流程和 GitHub 强化措施。

审计及其他
该公司表示： “我们专注于持续强化 Drift 应用环境。这一过程包括轮换凭证、暂时禁用 Drift 应用程序的某些部分以及加强安全配置。” “目前，我们建议所有 Drift 客户将所有 Drift 集成和相关数据视为可能受到损害的因素。”

FBI 关注的第二个组织是UNC6040。经评估，该组织自 2024 年 10 月起活跃，UNC6040 是谷歌为一个以经济利益为目的的威胁集群指定的名称，该威胁集群通过语音钓鱼活动获取初始访问权限，并劫持 Salesforce 实例进行大规模数据窃取和勒索。

这些攻击涉及使用修改版的 Salesforce Data Loader 应用程序和自定义 Python 脚本来入侵受害者的 Salesforce 门户并窃取宝贵数据。至少部分事件涉及 UNC6040 入侵事件后的勒索活动，这些活动发生在初始数据盗窃事件发生数月之后。

FBI 表示：“UNC6040 威胁行为者利用网络钓鱼面板，引导受害者在社交工程电话中通过手机或工作电脑访问。获得访问权限后，UNC6040 威胁行为者随后使用 API 查询批量窃取大量数据。”

谷歌将勒索阶段归咎于另一个未分类的集群 UNC6240，该集群在发给受害组织员工的电子邮件和电话中一直声称自己是 ShinyHunters 组织。

谷歌上个月指出：“此外，我们认为使用‘ShinyHunters’品牌的威胁行为者可能正准备通过推出数据泄露网站（DLS）来升级其勒索手段。这些新手段很可能是为了加大对受害者的压力，包括那些与最近 UNC6040 Salesforce 相关数据泄露事件相关的受害者。”

此后，该组织取得了一系列进展，其中最引人注目的是ShinyHunters、Scattered Spider 和 LAPSUS$联手，巩固并统一了他们的犯罪活动。2025 年 9 月 12 日，该组织在其 Telegram 频道“Scattered LAPSUS$ hunters 4.0”上宣布解散。

CIS 构建套件
该组织表示： “LAPSUS$、Trihash、Yurosh、Yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Clown、IntelBroker、Scattered Spider、Yukari 以及其他许多组织已决定停止活动。我们的目标已经实现，现在是时候说再见了。”

目前尚不清楚是什么原因促使该组织退出，但此举可能是为了保持低调，避免进一步受到执法部门的关注。

“新成立的LAPSUS$猎人4.0组织声称，法国执法部门又错误地逮捕了与该网络犯罪集团有关的另一名嫌疑人，该组织宣布将停止活动并‘隐姓埋名’，”Unit 42咨询和威胁情报高级副总裁萨姆·鲁宾告诉The Hacker News。“这些声明很少代表真正的退休。”

最近的逮捕行动或许促使该组织暂时低调，但历史经验告诉我们，这种情况通常只是暂时的。类似这样的组织会分裂、重塑，然后再次出现——就像 ShinyHunters 一样。即使公开运营暂停，风险依然存在：被盗数据可能再次出现，未被发现的后门程序可能持续存在，并且攻击者可能以新的名字再次出现。对威胁组织的沉默并不等于安全。组织必须保持警惕，并假设威胁并未消失，只是在不断适应。