Salesforce AI攻击导致CRM数据被窃取

首页 > 清静研究 > 清静转达 > 清静简讯

Salesforce AI攻击导致CRM数据被窃取

宣布时间 2025-09-28

1. Salesforce AI攻击导致CRM数据被窃取

9月25日，Noma Security研究职员克日披露一种名为"ForcedLeak"的新型攻击要领，可使用提醒注入和逾期域名对Salesforce的Agentforce平台实验数据窃取。该攻击由发明该误差的Noma Security公司验证，该公司近期刚完成1亿美元融资以强化其AI署理清静平台。研究显示，攻击者通过滥用Agentforce的Web-to-Lead功效实验攻击。该功效允许企业建设网页表单网络外部用户的潜在客户信息，并自动存入CRM系统。攻击者可向这些表单提交包括恶意指令的特制负载，当Agentforce署理处置惩罚此类信息时，将触发提醒注入误差，导致署理执行攻击者指定的操作。例如，研究职员演示了通过负载要求AI署理网络CRM中的电子邮件地点，并将其添加到发送至远程服务器的请求参数中，从而实现数据泄露。更隐藏的攻击路径涉及已逾期的Salesforce域名。研究职员发明，攻击者可争先注册逾期域名，并将其设置为吸收窃取数据的服务器。由于该域名曾属于Salesforce信托域，攻击可能恒久未被察觉。

https://www.securityweek.com/salesforce-ai-hack-enabled-crm-data-theft/

2. Rust Crates.io现恶意包窃取加密私钥

9月25日，Rust官方包客栈Crates.io克日曝出两个恶意软件包fastest_log和async_println，总下载量近8500次，其通过伪装成正当包实验加密钱币私钥窃取攻击。这两个包于5月25日宣布，划分被下载7200次和1200次，冒充热门日志库fast_log，复制其README文件、存储库元数据，并保存真实项目的日志功效以降低开发者小心。攻击者使用日志打包功效扫描受害系统，重点窃取三类敏感信息：以太坊私钥的十六进制字符串、Solana密钥/地点的Base58字符串，以及可能隐藏密钥的括号内字节数组。匹配到这些模式后，数据会被打包并发送到硬编码的Cloudflare Worker URL，该端点经测试确认处于运动状态且非官方Solana RPC节点。代码清静公司Socket率先发明此攻击并向Crates.io报告，平台于9月24日删除这两个包并封禁宣布者账户“rustguruman”和“dumbnbased”。Crates.io通告指出，这些恶意包无下游依赖，封禁账户未提交其他项目，攻击已基本扫除。但已下载包的开发职员仍需执行系统整理，并将数字资产转移至新钱包以避免被盗。

https://www.bleepingcomputer.com/news/security/malicious-rust-packages-on-cratesio-steal-crypto-wallet-keys/

3. 俄亥俄州团结县遭遇大规模勒索软件攻击

9月27日，美国俄亥俄州团结县5月18日爆发一起严重的勒索软件攻击事务，导致约45,487名住民及事情职员的社会清静号码、金融账户信息、驾照号码、指纹数据、医疗纪录及护照号码等敏感信息被盗。经视察确认，网络犯法分子自5月6日起便已侵入该县网络系统，直至18日勒索软件被检测发明，时代一连窃取数据。事务爆发后，团结县迅速启动应急响应机制，团结第三方网络清静专家与联邦执法部分睁开周全视察，并于8月25日完成事务审查后正式启动受害者通知程序。团结县在致受影响者的数据泄露通知信中明确指出，攻击爆发后已连忙与天下着名网络清静照料相助，在包管系统清静的同时界定命据泄露规模，并同步向联邦执法机构及缅因州总审查长办公室报备。凭证官方披露，被盗数据类型涵盖小我私家身份焦点信息及金融、医疗等敏感领域，详细包括姓名、社会清静号码、银行账户详情、生物识别信息及国际旅行证件编号等。阻止现在，尚无任何勒索软件组织宣称对此次攻击认真。

https://securityaffairs.com/182689/uncategorized/ohios-union-county-suffers-ransomware-attack-impacting-45000-people.html

4. 黑客使用SEO中毒与恶意广告植入Oyster后门

9月27日，黑客通过SEO中毒和搜索引擎广告推广虚伪Microsoft Teams装置程序，使用Oyster后门熏染Windows装备，为企业网络获取初始会见权限。Oyster恶意软件（又名Broomstick、CleanUpLoader）自2023年中首次泛起后，已关联多起恶意运动。该后门允许攻击者远程执行下令、安排特殊负载及传输文件，常通过冒充Putty、WinSCP等盛行IT工具的恶意广告撒播，甚至被Rhysida勒索软件组织用于入侵企业网络。Blackpoint SOC最新披露的攻击链显示，威胁行为者在用户搜索“Teams下载”时，通过非微软域名的广告和域名指导至伪造的Teams下载页面。用户点击下载的“MSTeamsSetup.exe”文件，虽使用伪造的“4th State Oy”和“NRM NETWORK RISK MANAGEMENT INC”证书署名以增强可信度，但执行后会将恶意DLL植入%APPDATA%\Roaming文件夹，并建设名为“CaptureService”的妄想使命，每11分钟执行一次DLL，确保后门在系统重启后一连活跃。Blackpoint强调，攻击者正使用用户对搜索效果及着名品牌的信托实验渗透，IT治理员作为高权限目的需格外小心。

https://www.bleepingcomputer.com/news/security/fake-microsoft-teams-installers-push-oyster-malware-via-malvertising/

5. Archer Health设置过失存储桶致14.5万份敏感文件袒露

9月26日，清静研究员Jeremiah Fowler发明一个未加密且无密码�；さ纳柚霉Т娲⑼�，内含约14.5万个文件（总计23GB），涉及大宗医疗敏感数据。经抽样核查，该数据库包括患者姓名、ID号、社会清静号码（SSN）、住址、电话号码等小我私家身份信息（PII），以及诊断纪录、治疗计划、照顾护士妄想、出院表格等受�；た到⌒畔ⅲ≒HI）。文件泉源疑似指向医疗治理软件，部分文件夹直接以患者姓名命名，尚有“传真订单”“合并PDF文件”中分类，袒露了患者与医疗服务提供者的详细运动日志、日程安排等隐私内容。Fowler于8月尾首次发明数据泄露，9月1日-2日完成审查后，于9月4日向Archer Home Health发出认真任披露警报，对方在24小时内回应。然而，9月7日，暗网组织KillSec3已将Archer Health列入其泄密网站，并于越日果真泄露8GB数据。该组织此前被曝恒久使用Grayhatwarfare等平台征采果真袒露的数据，通过下载并威胁实体举行勒索。

https://databreaches.net/2025/09/26/archer-health-was-leaking-protected-health-information-criminals-appear-to-have-found-it/

6. ApolloMD遭暗网组织麒麟威胁数据泄露

9月26日，暗网组织“麒麟”6月12日将医疗相助同伴ApolloMD列入其走漏网站，声称拥有238GB文件并标注日期为6月6日。然而，麒麟未兑现6月16日果真数据的威胁，下载链接中未发明现实数据。ApolloMD总部位于佐治亚州，自1983年起作为医生向导的私人集团，为医院提供临床运营、患者照顾护士及财务优化服务。麒麟宣布的清单包括财务信息截图，但未涉及小我私家身份信息（PII）或受�；た到⌒畔ⅲ≒HI）。ApolloMD于9月15日在官网宣布替换通知，披露5月22日至23日爆发未经授权会见，但未提及威胁者名称、文件加密情形或赎金要求。DataBreaches向其询问相关细节，阻止现在未获回复。ApolloMD通知了11家关联医疗机构，包括帕塞克医院服务有限公司、彭萨科拉住院医师有限责任公司等，时间规模从2015年7月至2025年9月。9月17日，ApolloMD向受影响患者发送通知信，明确泄露数据涉及患者姓名、出生日期、地点、诊断信息、医疗服务提供者姓名、服务日期、治疗信息及康健包管信息，部分患者可能袒露社会清静号码（SSN）。CyberScout为患者提供免费信用监控服务。

https://databreaches.net/2025/09/26/apollomd-notifies-patients-of-11-physician-practices-affected-by-a-june-cyberattack/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究