最近两至三个月，黑客组织UNC6040（ShinyHunters）针对云端CRM平台Salesforce系统的攻击行动频繁发生，近期更出现了Salesloft Drift供应链攻击。黑客组织UNC6395入侵Salesloft的GitHub账号，从而窃取采用Drift整合组件的企业组织凭证（Token），进而入侵并窃取存放在Salesforce平台的数据，这种现象也引起美国联邦调查局（FBI）警告，并呼吁企业组织要严加防范。

另一个引起各界高度关注的消息，是近日三星为其旗下安卓设备修补零时差漏洞CVE-2025-21043，并表示已被用于实际攻击行动。由于通报此事的Meta与WhatsApp安全团队表示，他们是在调查一起高度针对性的攻击事件中发现漏洞，不禁让人好奇，该漏洞是否如之前苹果、Meta先前修补的零时差漏洞，被用于攻击三星设备的WhatsApp用户。

【攻击与威胁】

FBI针对UNC6040与UNC6395黑客组织活动提出警告，目标是从企业组织的Salesforce平台窃取数据

美国联邦调查局（FBI）指出，黑客组织UNC6040与UNC6395近期针对企业的Salesforce平台发动攻击，通过语音社交工程与被盗的OAuth令牌获取访问权限，进一步大规模窃取数据，部分受害者还收到电子邮件勒索。

FBI指出，UNC6040自2024年10月以来持续活跃，手法以语音钓鱼为主，攻击者会假冒IT人员致电客服中心，要求员工配合操作或提供登录信息。一旦获取初始凭证，就会引导受害者在Salesforce的管理界面批准恶意连接应用程序，这些应用多半伪装成合法工具，例如修改版的Salesforce Data Loader，实际上在获取OAuth令牌后可直接通过API批量导出大量数据。由于授权流程来自平台本身，攻击活动往往能规避多因素验证、密码重置与登录审计等管控机制，使数据泄露行为更难被察觉。

UNC6395则是在2025年8月被观测到利用Salesloft的Drift应用被盗的OAuth令牌，结合第三方整合功能进入企业的Salesforce环境并窃取数据。虽然该途径在8月20日已由Salesloft与Salesforce共同撤销令牌而被封锁，但事件也凸显了第三方整合带来的潜在风险。FBI强调，即便攻击链已中断，仍有必要检查是否存在残留或不必要的令牌，以防止后续被滥用。

巴拿马财政部遭INC Ransom勒索软件攻击，黑客声称窃走1.5 TB数据

巴拿马经济与财政部（MEF）近日透露，内部电脑发生恶意程序入侵事件。根据媒体报道，罪魁祸首是INC Ransom勒索软件。

MEF在一台工作站发现疑似恶意软件的活动，当时已依照既定的安全政策，立即启动相关措施，并在整个信息系统加强预防手段以遏制该次事件。巴拿马政府强调，没有任何核心系统与平台受到影响，均维持正常运作。

根据安全新闻网站Bleeping Computer报道，勒索软件组织INC Ransom在暗网论坛宣称成功入侵MEF，并窃取1.5 TB内部数据，包括电子邮件、财务文件、预算明细等。为取信买家，这群黑客还公布部分数据作为证明。

针对暴露的Docker API，黑客通过Tor网络发动新一波行动，疑似绑架用于僵尸网络

今年6月安全厂商趋势科技揭露针对配置不当的Docker API挖矿的大规模攻击行动，黑客将作案工具存放于架设在洋葱网络（Tor Network）的服务器，意图隐匿相关活动，如今有新的发现，指出相关威胁加剧。

安全厂商Akamai今年8月在自身设置的蜜罐基础设施，发现新一波的攻击行动，虽然黑客同样针对暴露在互联网、且存在漏洞而有机会被感染的Docker API而来，但这次使用的初始访问渠道有所不同，而且攻击者还阻止其他人通过互联网访问受害的Docker API。值得关注的是，这波攻击行动的恶意程序也相当特殊，因为攻击者并未植入挖矿软件，而是部署其他工具，疑似打算充当僵尸网络的基础设施。

特别的是，其中一个文件是使用Go语言打造的恶意程序部署工具，执行过程中竟出现Emoji表情符号，Akamai推测，可能是由于攻击者借助大型语言模型（LLM）编写代码，目前许多LLM生成代码时经常会出现表情符号，有人认为是操作者刻意用表情符号，意图绕过系统的输入检查，也有人认为是LLM训练时学到这种风格，而在操作者会强制禁用的情况下，生成带有表情符号的代码内容。

1.1万台物联网设备、路由器遭绑架，发动每秒15亿个封包的DDoS攻击

9月初安全厂商Cloudflare揭露峰值达到11.5 Tbps的DDoS攻击，封包速率最高达5.1 Bpps，持续约35秒，一开始认为攻击流量来自Google云，后续确认同时来自物联网设备及多家云服务提供商，如今有其他安全厂商发现新一波攻击行动，但这次主要是针对缓解相关攻击的服务商而来。

英国安全厂商FastNetMon于9月9日指出，他们发现专门针对西欧一家DDoS流量清洗服务商的DDoS攻击，封包的速率每秒达到15亿个（1.5 Gpps或1.5 Bpps），恶意流量主要是UDP洪水攻击，由全球1.1万台物联网设备及路由器等客户端设备（Customer-Premises Equipment，CPE）产生。由于这起事件发生在Cloudflare揭露的事件数天之后，代表攻击者现在已经将攻击流量和封包的规模，提升到另一个境界。

其他攻击与威胁

◆勒索软件HybridPetya可绕过安全启动防护机制

◆网络钓鱼服务VoidProxy锁定M365、Google账号而来

◆黑客组织WhiteCobra锁定VS Code、Cursor、Windsurf用户而来，上架恶意插件意图挖矿

◆法国警告苹果用户成为一系列间谍软件的攻击目标

【漏洞与修补】

三星为安卓设备修补已被积极利用的零时差漏洞

8月下旬，苹果修补已被用于实际攻击的零时差漏洞CVE-2025-43300，随后Meta也为iOS及macOS版WhatsApp修补零时差漏洞CVE-2025-55177，并指出两项漏洞已被串联，用于针对特定用户发起复杂攻击，近期三星也修补Meta与WhatsApp联合通报的零时差漏洞，并表示已有被用于攻击的情况，引起安全界高度关注。

三星发布移动设备9月例行更新SMR Sep-2025 Release 1，修补一系列安全漏洞，其中最引起关注的部分，是严重级别的CVE-2025-21043，此漏洞出现在名为libimagecodec.quram.so的组件，为内存越界写入漏洞，影响运行安卓13至16版的设备，一旦攻击者成功触发，就有机会远程执行任意代码，CVSS风险评分为8.8。三星发布补丁，修正不正确的实现。值得注意的是，他们特别提到已接获该漏洞被实际利用的情况。

针对该漏洞，三星并未透露其他细节，然而由于该漏洞由Meta及WhatsApp安全团队于8月上旬通报，外界很难不与前述苹果及WhatsApp修补的零时差漏洞联想在一起，而猜测可能是用于对三星设备的WhatsApp用户下手。对此，Meta发言人向媒体透露，该漏洞的发现，源于他们在夏季一场高度针对性攻击调查的结果，并将相关发现与业界合作伙伴分享，其中包括苹果和三星。

Google修补Chrome 140重大漏洞

Google于9月9日发布电脑版、安卓版Chrome 140更新，修补两项安全漏洞CVE-2025-10200、CVE-2025-10201，值得注意的是，CVE-2025-10200被评为严重漏洞，非常危险，用户应尽快应用更新。

该严重级别漏洞出现在Serviceworker组件，为内存使用后释放再利用（Use After Free）的漏洞，由安全研究员Looben Yang于8月22日通报，美国网络安全与基础设施安全局（CISA）评估其CVSS风险值为8.8（满分10分），Google颁发4.3万美元奖励给Looben Yang。

对于该漏洞带来的影响，攻击者只需通过特制的HTML网页，就有机会从远程导致Chrome出现内存中断现象，Google发布Windows版140.0.7339.127、140.0.7339.128，Linux版140.0.7339.127，macOS版140.0.7339.132、140.0.7339.133，以及安卓版140.0.7339.123，来修补该漏洞。

其他安全产业动态

◆F5收购AI安全厂商CalypsoAI

近期安全日报

【9月12日】勒索软件Akira攻击SonicWall防火墙SSL VPN服务的态势加剧

【9月11日】微软修补近满分安全漏洞

【9月10日】微软、SAP、Adobe发布9月例行更新