崛起的網路黑暗聯盟:ShinyHunters 與其同盟的威脅
近期,網路安全界再度拉響警報,惡名昭彰的駭客集團 ShinyHunters 在沉寂一年後,以更為複雜且大規模的攻勢重返檯面。該集團,現被認為與 Lapsus$ 和 Scattered Spider 等組織共同組成「Trinity of Chaos」或「Scattered LAPSUS$ Hunters」這一鬆散但極具威脅的聯盟,已將目標鎖定在全球領先的雲端客戶關係管理平台 Salesforce。
駭客們近期在暗網上架設了一個專門的資料洩露網站 (Data Leak Site, DLS),公然威脅將洩露從 Salesforce 客戶資料庫竊取的多達 十億筆客戶紀錄。這一舉動不僅標誌著其攻擊策略的重大轉變,也預示著一場可能波及全球企業及其客戶的空前資料外洩危機。
深入解析:Sophisticated 的攻擊手法與廣泛受害企業
這波攻擊的複雜性令人擔憂。駭客們不再僅限於傳統的資料庫漏洞利用,而是採取了更加精密的社群工程手段。據 ReliaQuest 的威脅研究報告和 Google 的確認,攻擊者主要透過「vishing」(語音釣魚)活動,冒充 IT 支援人員或內部員工,誘騙受害者授權惡意「連接應用程式」(connected apps),或利用竊取的 OAuth 憑證,進而滲透 Salesforce 實例,竊取大量敏感的個人身份資訊 (PII) 和商業數據。
受害企業名單不斷擴大,橫跨多個關鍵行業,包括航空、金融、科技和汽車製造。目前已證實或被列為受害者的知名企業包括:航空巨頭 Aeromexico、法國航空 (AirFrance)、澳洲航空 (Qantas Airlines),科技巨擘 Google 和 Cisco,汽車產業巨頭 Stellantis,以及保險公司 Allianz Life、信用評級機構 TransUnion 和人力資源平台 Workday 等。甚至還有傳言指出 FedEx、Hulu (隸屬 Disney) 和 Toyota Motors 也名列其中。儘管 Salesforce 官方聲明其平台並未被入侵,且這次活動與任何已知漏洞無關,強調這些事件多與過去或尚未證實的事件有關,但仍建議客戶對網路釣魚和社群工程保持高度警惕。
駭客聯盟的形成:TTPs 演變與協作證據
這次攻擊最引人注目的特點之一,是 ShinyHunters 與 Scattered Spider 之間可能存在的深度合作。過去一年相對沉寂的 ShinyHunters,這次重新浮現卻展現出與 Scattered Spider 極其相似的戰術,這引發了安全專家對兩者「聯手」的強烈推測。例如,這次攻擊中使用的 高度目標性語音釣魚、冒充 IT 支援人員、設置 Okta 主題的網路釣魚頁面,以及利用 Mullvad VPN 進行資料外洩等策略,都與 Scattered Spider 慣用的社群工程技術高度吻合。
此外,在 Telegram 上出現的「Sp1d3rhunters」這個巧妙結合兩集團名稱的威脅行為者,自稱兩集團「本質上是同一夥人」,並且「一直都是同一夥人」,進一步強化了合作的理論。此帳號甚至在 2024 年 5 月於 BreachForums 上發布了與 ShinyHunters 過去洩露事件相關的數據。這種跨集團共享工具、基礎設施與策略的模式,顯示出網路犯罪集團正朝向更為整合與高效的方向發展,對傳統的安全防禦構成巨大挑戰。
威脅情資洞察:模仿性網域與未來的潛在目標
ReliaQuest 的分析團隊深入調查了潛在與 ShinyHunters 相關的網域註冊模式,揭示了其攻擊的最新動向和未來目標預測。駭客們頻繁註冊具有模仿性的網域,例如「ticket-companyname[.]com」和「companyname-my-salesforce[.]com」,這些網域被用於託管 Okta 品牌或 Salesforce 主題的網路釣魚頁面,意圖竊取受害者的憑證。這些以票務系統為主題的網域,例如 `ticket-lvmh[.]com`、`ticket-dior[.]com` 和 `ticket-louisvuitton[.]com`,在 2025 年 6 月底至 7 月初被註冊,時間點恰好與 Louis Vuitton 據報導遭受資料外洩事件相符。
值得注意的是,攻擊目標也呈現出明顯的轉變。在 2025 年初,專業、科學和技術服務業 (PSTS) 是主要目標。然而,自 2025 年 7 月以來,針對金融服務公司的網域註冊量增加了 12%,而科技公司的目標量則略有下降。這表明金融服務業,包括銀行和保險公司,已成為這些以金錢為動機的集團的首要目標,儘管科技公司因其數據價值和廣泛的客戶接觸面,仍處於高風險之中。美國則持續是這些模仿性網域創建活動最頻繁的目標國,反映其企業集中度高且具吸引力。
企業防禦策略:從攻擊模式而非集團歸因著手
面對不斷演變的網路威脅,企業的防禦策略必須從單純追蹤駭客集團,轉變為更側重於理解並防禦其攻擊戰術、技術與程序 (TTPs)。駭客集團會不斷變換名稱、基礎設施與手法以規避偵測。因此,組織應專注於強化其安全態勢,以應對所有可能發生的社群工程攻擊,而非僅僅針對特定已知集團。
為有效防範類似 ShinyHunters 和 Scattered Spider 的攻擊,企業應採取多面向的防禦措施。首先,**強化防範社群工程**至關重要,應實施嚴格的內部驗證流程,特別是針對涉及存取權限變更或資料匯出的敏感請求。定期對服務台和特權用戶進行語音釣魚和網路釣魚模擬演練,以提高員工對此類攻擊的識別能力。其次,需要加固 Salesforce 等 SaaS 應用程式的存取與資料控制,例如僅限受信任的管理員擁有「API Enabled」和「Manage Connected Apps」等高權限,並為用戶設定 IP 白名單。最後,培養一個強韌的安全文化,強制所有用戶啟用多因素驗證 (MFA),並持續教育員工識別 MFA 疲勞攻擊、網路釣魚和其他針對 SaaS 的威脅。透過這些積極的步驟,企業才能在日益複雜的網路威脅環境中,有效保護其寶貴的數據資產。
