Lapsus$ 的“数字幽灵”卷土重来,手段更加老练,目标也更加明确:数字供应链。网络安全初创公司 ZenoX(隶属于 Dfense Group)发布的一份最新威胁情报报告显示,臭名昭著的 Lapsus$ 黑客组织的一个分支——自称“Scattered Lapsus$ Hunters ”(分散的 Lapsus$ 猎手)——发动了有史以来规模最大的供应链攻击之一,利用 Salesforce 平台集成9.89 亿至 15 亿条企业记录
这项题为《数字幽灵:Lapsus$ 向分散猎手的蜕变SalesforceSalesloft Drift销售互动平台集成中的一个漏洞。
通过利用数字供应链中的漏洞,犯罪分子入侵了Salesloft系统,获取了能够绕过多因素身份验证(MFA)的访问令牌(OAuth),从而为入侵数百家企业使用的Salesforce实例铺平了道路。受害者包括科技巨头(Google AdSense、思科) 、航空企业(澳航、法航、荷航、联邦快递) 、零售商(家得宝、宜家) 、奢侈品公司(路易威登、香奈儿、迪奥、卡地亚) 、汽车企业(丰田、Stellantis) 、食品企业(麦当劳、肯德基) 、媒体娱乐公司(迪士尼/Hulu、HBO Max)以及金融企业(安联人寿、TransUnion)等等。
“我们正在见证一个幽灵的成长。最初由青少年组成的 Lapsus$ 团队证明,精心策划的社会工程攻击比任何复杂的恶意软件都更具破坏性。如今,他们的后继者——分散的 Lapsus$ 猎手们吸取了教训,与其他经验丰富的团队(如 Scattered Spider 和 ShinyHunters)联手,并将这种方法产业化,”ZenoX 的首席营收官 Ana Cerqueira 分析道。“他们已经证明,最薄弱的环节不再仅仅是粗心的员工,而是我们对互联软件生态系统的信任。攻击像 Salesloft 这样的 SaaS 平台,就像找到了一把可以同时进入数百家公司的万能钥匙。”
ZenoX 的报告详细说明,泄露的数据极其敏感,包括全名、社会保障号码 (SSN)、出生日期、驾驶执照信息、电子邮件、电话号码、购买历史记录、支持工单内容、API 密钥、访问令牌和其他公司凭证。
该团伙的动机在最后通牒中显露无疑:网络犯罪分子要求Salesforce 直接20 个比特币(约合 130 万美元) 2025 年 10 月 10 日。如果 Salesforce 不付款,该团伙不仅威胁要公开这十亿条记录,还要与律师事务所合作,对 Salesforce 提起诉讼,并向欧洲和美国的数据保护监管机构(GDPR、CCPA)举报该公司。
“双重勒索策略已经演变为三重甚至四重勒索:他们威胁母公司、客户公司,甚至扬言要向监管机构提供证据。这种武力展示令整个SaaS行业都提高了警惕,”Cerqueira补充道。“面对那些以信任为主要攻击手段的对手,传统的防御措施远远不够。唯一有效的应对之策是主动情报收集,监控合作伙伴生态系统和犯罪网络,以便在这些行动演变成全球性危机之前就预先防范。”
