美國聯邦調查局（FBI）網際網路犯罪申訴中心（IC3）於9月12日發布閃電警報（FLASH），揭露兩個網路犯罪團體UNC6040（又稱ShinyHunters）及UNC6395針對Salesforce客戶發動資料竊取及勒索攻擊。UNC6040自2024年10月起透過電話釣魚（vishing）及社會工程滲透Salesforce環境，UNC6395則利用Salesloft Drift應用的OAuth權杖入侵，兩者可能合作行動，影響數百家企業。FBI提供入侵指標（IOC）及防禦建議，Salesforce發言人強調，此類攻擊非平台漏洞所致，但第三方整合成主要風險。台灣企業廣泛使用Salesforce，資安單位呼籲立即審核第三方應用及員工培訓，防範資料外洩。

 

 

FBI警報指出，UNC6040及UNC6395為財務動機的威脅行為者，專注資料竊取及勒索，近期頻繁鎖定Salesforce平台。UNC6040以vishing聞名，自2024年秋季起，假冒IT支援人員致電受害者客服中心，聲稱處理「企業級連線問題」，以關閉自動票證為由誘導員工執行授權或分享憑證，進而存取Salesforce實例並外洩客戶資料。FBI描述：「UNC6040威脅行為者誘騙客服員工採取行動，授予攻擊者存取權或導致員工憑證分享，讓他們入侵目標公司的Salesforce實例，竊取客戶資料。」在某些案例中，攻擊者引導員工造訪釣魚頁面獲取初始存取，隨後透過API呼叫大量蒐集資料；另一些則直接索取登入或多因素驗證（MFA）憑證。

 

 

更嚴重的是，UNC6040誘導組織授權惡意應用程式連接到Salesforce入口，這些應用常為Salesforce Data Loader的修改版，透過試用帳戶建立，無需合法企業帳戶註冊，即可繞過驗證要求，大量外洩敏感資料。Google威脅情報小組（GTIG）6月報告顯示，UNC6040持續自稱ShinyHunters，並發送勒索郵件，要求以加密貨幣支付，否則公開竊取資料。此團體活動自2024年10月起，影響多家知名企業，包括Adidas、Pandora及Google本身，凸顯其大規模運作。FBI警報補充，UNC6040受害者後續收到ShinyHunters署名的勒索信，顯示其施壓策略升級。

 

 

UNC6395則採用不同手法，於2025年8月利用Salesloft Drift—一款AI驅動聊天機器人，整合Salesforce—的被盜OAuth權杖，系統性入侵數百家Salesforce環境，竊取敏感憑證如AWS金鑰、密碼及Snowflake權杖。FBI指出，UNC6395透過這些權杖偽裝成受信任應用，蒐集資料後刪除查詢記錄掩蓋軌跡。8月20日，Salesloft與Salesforce合作撤銷所有活躍存取及更新權杖，終止攻擊者透過Drift存取受害平台。Salesforce發言人回應Dark Reading查詢，表示自撤銷後，已重新啟用Salesloft其他整合，但Drift應用將持續停用「直至另行通知」。發言人強調，此攻擊影響Salesloft及其他Salesforce整合，並非平台漏洞，而是第三方應用安全問題。

 

 

FBI警報提供詳細技術細節及IOC，包括UNC6040相關IP地址、惡意URL及User-Agent字串，UNC6395則聚焦OAuth濫用指標。警報強調，兩團體可能單獨或聯手行動，UNC6040的vishing常作為初始存取，UNC6395則利用第三方權杖擴大影響。BleepingComputer報導，此攻擊浪潮自2025年初起，UNC6040曾針對Cloudflare、Zscaler等資安公司，竊取客戶資料用於勒索。 TechRadar指出，UNC6040修改Data Loader應用，透過Salesforce試用帳戶註冊，繞過MFA，實現持久存取。 Cybersecurity News強調，FBI呼籲組織檢查Salesforce事件監控日誌，搜尋異常查詢及第三方連線。

 

 

為防範UNC6040及UNC6395，FBI建議組織培訓客服員工辨識及回報釣魚嘗試；要求使用抗釣魚MFA；實施驗證、授權及會計（AAA）系統，限制用戶行動；強制IP基存取限制；監控網路日誌及瀏覽器活動，偵測入侵跡象；審核所有第三方軟體連線。SC Media分析，此攻擊非傳統漏洞利用，而是業務邏輯濫用，攻擊者透過合法授權存取雲端環境。 IT Pro建議，企業檢查Salesforce物件中敏感資訊，輪換API金鑰，並調查Tor出口節點活動。

 

 

台灣資安專家分析，此警報對本土企業影響深遠。Salesforce在台灣廣泛用於CRM及銷售管理，許多公司整合Salesloft等第三方工具。行政院國家資通安全會報表示，將密切追蹤UNC6040及UNC6395活動，呼籲Salesforce用戶審核OAuth權杖、第三方應用，並加強vishing防護。趨勢科技台灣區總經理洪偉淦受訪時指出：「UNC6040的社會工程攻擊極具欺騙性，台灣企業客服常成目標。應實施最小權限原則，監控API呼叫，並使用SIEM系統偵測異常。」他建議，啟用IP限制、定期輪換憑證，並教育員工拒絕不明電話授權，防範資料外洩導致勒索或合規罰款。

 

 

 

此事件與近期資安趨勢呼應，如中國Salt Typhoon曝光45域名進行間諜活動、Apple CarPlay零點擊漏洞未修補，顯示供應鏈及第三方整合風險上升。FBI警報凸顯全球合作必要，台灣政府可推動雲端資安指引，強制企業報告攻擊。Salesforce用戶應立即檢查連線應用、搜尋IOC，並開立支援案件取得威脅查詢。隨著雲端普及，此類攻擊料將持續，企業需平衡便利與安全，防範UNC6040及UNC6395的聯合威脅。