ShinyHunters擴大SaaS勒索攻擊 結合vishing與憑證竊取威脅微軟365與Slack
回到上一頁

ShinyHunters擴大SaaS勒索攻擊 結合vishing與憑證竊取威脅微軟365與Slack

2026-02-03
知名網路犯罪集團ShinyHunters持續進化其SaaS環境勒索策略,從去年針對Salesforce實例的攻擊擴大至微軟365、SharePoint、Slack等多款主流雲端服務。Google旗下的Mandiant威脅情報團隊最新報告指出,該集團旗下多個威脅叢集(UNC6661、UNC6671、UNC6240)正積極運用語音釣魚(vishing)與品牌化憑證竊取網站,竊取單一登入(SSO)憑證與多因素驗證(MFA)碼,進而滲透企業網路、竊取敏感資料並發動勒索。此波攻擊顯示ShinyHunters不僅擴大目標平台範圍,更在勒索手法上變得更具侵略性,對台灣高度依賴SaaS的科技、金融與製造業構成嚴峻挑戰。
 
Mandiant自去年Salesforce攻擊事件起持續追蹤ShinyHunters演進,當時該集團已造成Google、Cisco、Adidas、Workday等多組織受害。近期從2026年1月初至中旬的攻擊顯示,集團不再局限於Salesforce,而是針對更廣泛的SaaS平台發動攻擊。Mandiant在Google Threat Intelligence部落格指出:「這代表攻擊者調整作戰方式,以蒐集更多敏感資料用於勒索。」攻擊者一旦取得初始存取權,即橫向移動於雲端環境,從多個SaaS應用外洩資料,包括內部通訊、提案文件、POC(概念驗證)、VPN設定與個人識別資訊(PII),作為勒索籌碼。
 
三個主要威脅叢集各有特色,但皆與ShinyHunters高度相關:
  • UNC6661:1月初至中旬發動純社交工程攻擊。攻擊者假冒內部IT人員致電員工,聲稱公司正在更新MFA設定,要求受害者前往「公司品牌」憑證竊取網站輸入SSO帳密與MFA碼。網站高度仿真合法SSO入口,成功竊取後,攻擊者立即註冊自家裝置為MFA,維持持久存取。部分受害帳號屬Okta客戶,與Okta去年12月通報的針對身分平台與加密貨幣服務的釣魚/vishing攻擊行為一致。取得存取後,UNC6661橫向移動,針對SharePoint、OneDrive等外洩資料,並使用特定關鍵字搜尋(如“confidential”、“internal”、“proposal”、“poc”、“vpn”、“salesforce”)鎖定高價值內容。在至少一案例中,攻擊者利用遭劫持的電子郵件帳號,向加密貨幣公司聯絡人發送額外釣魚郵件,事後刪除寄出紀錄掩蓋痕跡。
  • UNC6240:專注後入侵勒索行為。使用Tox即時通訊帳號與受害者談判,發送ShinyHunters品牌勒索郵件,並透過Limewire託管竊取資料樣本作為證據。郵件中明確列出竊取資料類型、要求支付金額與比特幣地址,並威脅72小時內未付將發動DDoS攻擊。此手法與ShinyHunters先前勒索郵件高度一致。
  • UNC6671:同樣運用vishing,假冒IT人員引導受害者輸入憑證與MFA碼至品牌化釣魚網站。與UNC6661不同的是,UNC6671更常使用Tucows註冊域名,且戰術更具侵略性,包括騷擾受害員工等超出傳統ShinyHunters playbook的行為。Mandiant認為域名註冊商差異與勒索風格變化,顯示可能由不同成員或子團體操作。UNC6671亦針對Okta客戶發動攻擊,並使用PowerShell從SharePoint與OneDrive下載敏感資料。
 
ShinyHunters的演進可追溯至去年與Scattered Spider、Lapsus聯手組成「ScatteredLapsus 聯手組成「Scattered Lapsus 聯手組成「ScatteredLapsus Hunters」聯盟,儘管10月美國執法單位關閉其Salesforce勒索網站,集團仍持續活躍。此次攻擊擴大SaaS目標,顯示其適應能力與資源深度。
 
對台灣企業影響重大。台灣多數大型企業與新創高度依賴微軟365、Slack、Salesforce等SaaS平台處理核心業務,一旦SSO與MFA遭繞過,可能導致客戶資料、智財、財務報表外洩,甚至供應鏈中斷。金融業與科技製造業尤其易受影響,因其常持有PII與商業機密。Okta去年12月已警告類似vishing套件針對Google、Microsoft、Okta與加密貨幣提供者,Mandiant報告進一步確認ShinyHunters涉入。
 
Mandiant與Okta均發布防護建議,企業可採取以下措施:
  1. 全面部署防釣魚認證,如通行金鑰(passkeys)或硬體安全金鑰,取代簡訊/應用程式MFA。
  2. 啟用Okta或Azure AD的網路區域(Network Zones)與租戶存取控制清單,限制可疑IP或地區登入。
  3. 教育員工辨識vishing:不輕信來電要求輸入憑證或MFA碼,應主動回撥官方電話驗證。
  4. 監控異常登入、裝置註冊與雲端資料下載行為,使用UEBA(使用者與實體行為分析)工具。
  5. 定期審核SaaS應用權限,實施最小權限原則,並監控異常關鍵字搜尋。
  6. 關注Chrome Safe Browsing已封鎖的ShinyHunters釣魚域名清單,並部署端點偵測與回應(EDR)工具。
 
Mandiant強調,企業應主動強化SaaS環境,防範ShinyHunters品牌攻擊。Okta亦建議使用自訂釣魚套件偵測機制,阻斷vishing轉向憑證竊取的攻擊鏈。
 
ShinyHunters的持續演進顯示,SaaS勒索已從單一平台擴大為全雲端生態威脅。台灣企業應視此為警訊,加速轉向釣魚抗性認證與零信任架構,否則恐成為下一個受害者。
 
 
出處: 基於Dark Reading文章《ShinyHunters Expands Scope of SaaS Extortion Attacks》,作者Elizabeth Montalbano,發布日期2026年2月3日;並參考Mandiant/Google Threat Intelligence部落格報告、Okta官方部落格警報,以及相關資安媒體交叉驗證。