黑客近日公布了美国保险巨头安联人寿 (Allianz Life) 被盗的数据,其中包含 280 万条涉及业务合作伙伴和客户的敏感记录。这是正在进行的 Salesforce 数据窃取攻击的一部分。
上个月,Allianz Life 披露,其 “大多数”140 万客户的个人信息于 7 月 16 日从一家第三方云端 CRM 系统中被窃取,构成数据泄露事件。
虽然公司当时并未公开该服务提供商的名称,但 BleepingComputer 最先报道称,该事件属于 ShinyHunters 勒索组织针对 Salesforce 的一系列攻击之一。
上周末,ShinyHunters 与其他声称与 “Scattered Spider” 和 “Lapsus$” 有重叠的威胁行为者创建了一个名为 “ScatteredLapsuSp1d3rHunters” 的 Telegram 频道,在那里嘲讽网络安全研究人员、执法机构和记者,并为多起重大入侵事件“认领责任”。
他们声称的一些攻击此前从未被归因于任何特定威胁组织,包括对 Internet Archive、Pearson 和 Coinbase 的攻击。
在这些“认领”事件中,就包括安联人寿。黑客称已将该公司 Salesforce 实例中被窃取的完整数据库泄露出来。
泄露的文件包括 Salesforce 中的 “Accounts” 和 “Contacts” 数据表,总计约 280 万条涉及个人客户及业务合作伙伴(如财富管理公司、经纪人、理财顾问等)的记录。
这些 Salesforce 数据包含大量敏感个人信息,例如姓名、地址、电话号码、出生日期、税务识别号(TIN),以及执业许可证、公司隶属关系、产品授权、营销分类等职业信息。
BleepingComputer 已联系多名出现在泄露文件中的人员,并确认其电话号码、电子邮件、税务识别号及其他信息均属真实。
BleepingComputer 就数据库泄露事宜联系安联人寿,但公司表示因调查尚在进行,暂不发表评论。
Salesforce 数据窃取攻击背景
据信,这波 Salesforce 数据窃取攻击始于今年年初。威胁行为者通过社会工程攻击,诱骗员工将恶意的 OAuth 应用与其公司 Salesforce 实例绑定。
一旦绑定成功,攻击者便利用该连接下载并窃取数据库,随后通过电子邮件对公司进行勒索。
勒索邮件以 ShinyHunters 的名义发送。这个臭名昭著的组织多年来与多起重大攻击有关,包括针对 AT&T、PowerSchool 和 Snowflake 的事件。
虽然 ShinyHunters 过去以攻击云端 SaaS 应用和网站数据库闻名,但并不擅长此类社会工程攻击,因此不少研究人员和媒体将部分 Salesforce 攻击归因于 Scattered Spider。
不过,ShinyHunters 向 BleepingComputer 表示:“ShinyHunters 和 Scattered Spider 是同一个组织。”
他们补充称:“他们为我们提供初始访问权限,我们则负责导出和窃取 Salesforce CRM 实例的数据,就像我们在 Snowflake 事件中做的那样。”
此外,据信该组织的许多成员来自另一黑客组织 Lapsus$。后者在 2022 至 2023 年间制造了多起重大攻击事件,部分成员此后被捕。
Lapsus$ 曾入侵 Rockstar Games、Uber、2K、Okta、T-Mobile、Microsoft、Ubisoft 和 NVIDIA 等公司。
与 Scattered Spider 类似,Lapsus$ 擅长社会工程和 SIM 卡交换攻击(SIM Swap),能够突破市值数十亿美元甚至数万亿美元公司的 IT 防御。
过去几年,已有与这三个组织相关的多起逮捕事件。但目前尚不清楚,当前的威胁行为者是这些组织的原成员、新加入的黑客,还是仅仅借用这些名号来制造“假旗”混淆视听。
发表评论
您还未登录,请先登录。
登录