谷歌警告：黑客篡改 Salesforce 应用实施数据窃取与勒索​

HackerNews 编译，转载请注明出处：

谷歌6月4日（周三）披露，黑客正诱骗欧美企业员工安装篡改版Salesforce关联应用，借此窃取海量数据、入侵企业云服务并实施勒索。

谷歌威胁情报小组追踪为UNC6040的黑客组织“在诱骗员工方面特别有效”。研究人员称，该组织诱导员工安装篡改版Salesforce数据加载器（Data Loader）——该专有工具通常用于批量导入Salesforce环境数据。黑客通过语音电话诱骗员工访问伪装的Salesforce关联应用设置页面，诱导其批准黑客仿制的未授权篡改应用。

若员工安装该应用，黑客将获得“从受侵Salesforce客户环境直接访问、查询和窃取敏感信息的强大能力”。研究人员指出，此类访问权限常使黑客能在客户网络内横向移动，进而攻击其他云服务及内部企业网络。

谷歌旗下Mandiant在X平台警示称：“企业准备好应对语音钓鱼了吗？UNC6040是以经济利益驱动的威胁集群，专门通过语音钓鱼（vishing）入侵企业Salesforce系统实施大规模数据窃取。”

该活动技术基础设施与松散犯罪生态系统“The Com”存在关联特征。谷歌发言人向路透社透露，过去数月约有20家机构遭UNC6040攻击，其中部分机构数据已被成功窃取。Salesforce发言人则声明：“无证据表明该问题源于平台固有漏洞”，并强调这是“针对个人网络安全意识漏洞的社会工程骗局”。

该发言人拒绝透露具体受影响客户数量，但表示“仅涉及少数客户，并非普遍性问题”。实际上，Salesforce早在2025年3月就预警过语音钓鱼攻击及篡改版数据加载器的滥用风险。

上月，可口可乐欧洲太平洋合作伙伴（CCEP）的64GB数据遭泄露。业内人士怀疑攻击者并非直接入侵可口可乐系统，而是通过该公司Salesforce账户获取数据。

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文