Salesforce AI攻击导致CRM数据被窃取

首页 > 安全钻研 > 安全传递 > 安全简讯

Salesforce AI攻击导致CRM数据被窃取

颁布功夫 2025-09-28

1. Salesforce AI攻击导致CRM数据被窃取

9月25日，Noma Security钻研人员近日披露一种名为"ForcedLeak"的新型攻击步骤，可利用提醒注入和过期域名对Salesforce的Agentforce平台执行数据窃取。该攻击由发现该缝隙的Noma Security公司验证，该公司近期刚实现1亿美元融资以强化其AI代理安全平台。钻研显示，攻击者通过滥用Agentforce的Web-to-Lead职能执行攻击。该职能允许企业创建网页表单网络表部用户的潜在客户信息，并自动存入CRM系统。攻击者可向这些表单提交蕴含恶意指令的特造负载，当Agentforce代理处置此类信息时，将触发提醒注入缝隙，导致代理执行攻击者指定的操作。例如，钻研人员演示了通过负载要求AI代理网络CRM中的电子邮件地址，并将其增长到发送至远程服务器的要求参数中，从而实现数据泄露。更荫蔽的攻击蹊径涉及已过期的Salesforce域名。钻研人员发现，攻击者可争先注册过期域名，并将其配置为接管窃取数据的服务器。由于该域名曾属于Salesforce信赖域，攻击可能持久未被觉察。

https://www.securityweek.com/salesforce-ai-hack-enabled-crm-data-theft/

2. Rust Crates.io现恶意包窃取加密私钥

9月25日，Rust官方包仓库Crates.io近日曝出两个恶意软件包fastest_log和async_println，总下载量近8500次，其通过假装成合法包执行加密钱币私钥窃取攻击。这两个包于5月25日颁布，别离被下载7200次和1200次，假意热点日志库fast_log，复造其README文件、存储库元数据，并保留真实项主张日志职能以降低开发者警惕。攻击者利用日志打包职能扫描受害系统，沉点窃取三类敏感信息：以太坊私钥的十六进造字符串、Solana密钥/地址的Base58字符串，以及可能暗藏密钥的括号内字节数组。匹配到这些模式后，数据会被打包并发送到硬编码的Cloudflare Worker URL，该端点经测试确认处于活动状态且非官方Solana RPC节点。代码安全公司Socket率先发现此攻击并向Crates.io汇报，平台于9月24日删除这两个包并封禁颁布者账户“rustguruman”和“dumbnbased”。Crates.io布告指出，这些恶意包无下游依赖，封禁账户未提交其他项目，攻击已根基断根。但已下载包的开发人员仍需执行系统算帐，并将数字资产转移至新钱包以预防被盗。

https://www.bleepingcomputer.com/news/security/malicious-rust-packages-on-cratesio-steal-crypto-wallet-keys/

3. 俄亥俄州结合县遭逢大规模勒索软件攻击

9月27日，美国俄亥俄州结合县5月18日产生一路严沉的勒索软件攻击事务，导致约45,487名居民及工作人员的社会安全号码、金融账户信息、驾照号码、指纹数据、医疗纪录及护照号码等敏感信息被盗。经调查确认，网络犯罪分子自5月6日起便已侵入该县网络系统，直至18日勒索软件被检测发现，期间持续窃取数据。事务产生后，结合县迅速启动应急响应机造，结合第三方网络安全专家与联国法律部门发展全面调查，并于8月25日实现事务审查后正式启动受害者通知法式。结合县在致受影响者的数据泄露通知信中明确指出，攻击产生后已立即与全国驰名网络安全照拂合作，在保险系统安全的同时界定数据泄露领域，并同步向联国法律机构及缅因州总检察长办公室报备。凭据官方披露，被盗数据类型涵盖幼我身份主题信息及金融、医疗等敏感领域，具体蕴含姓名、社会安全号码、银行账户详情、生物鉴别信息及国际观光证件编号等。截至目前，尚无任何勒索软件组织宣称对这次攻击掌管。

https://securityaffairs.com/182689/uncategorized/ohios-union-county-suffers-ransomware-attack-impacting-45000-people.html

4. 黑客利用SEO中毒与恶意告白植入Oyster后门

9月27日，黑客通过SEO中毒和搜索引擎告白推广虚伪Microsoft Teams装置法式，利用Oyster后门习染Windows设备，为企业网络获取初始接见权限。Oyster恶意软件（别号Broomstick、CleanUpLoader）自2023年中初次出现后，已关联多起恶意活动。该后门允许攻击者远程执行号令、部署额表负载及传输文件，常通过假意Putty、WinSCP等盛行IT工具的恶意告白传布，甚至被Rhysida勒索软件组织用于入窃祗业网络。Blackpoint SOC最新披露的攻击链显示，威胁行为者在用户搜索“Teams下载”时，通过非微软域名的告白和域名疏导至伪造的Teams下载页面。用户点击下载的“MSTeamsSetup.exe”文件，虽使用伪造的“4th State Oy”和“NRM NETWORK RISK MANAGEMENT INC”证书署名以加强可信度，但执行后会将恶意DLL植入%APPDATA%\Roaming文件夹，并创建名为“CaptureService”的打算工作，每11分钟执行一次DLL，确保后门在系统沉启后持续活跃。Blackpoint强调，攻击者正利用用户对搜索了局及驰名品牌的信赖执行渗入，IT治理员作为高权限指标需格表警惕。

https://www.bleepingcomputer.com/news/security/fake-microsoft-teams-installers-push-oyster-malware-via-malvertising/

5. Archer Health配置谬误存储桶致14.5万份敏感文件露出

9月26日，安全钻研员Jeremiah Fowler发现一个未加密且无密码�；さ呐渲妹蟠娲⑼�，内含约14.5万个文件（总计23GB），涉及大量医疗敏感数据。经抽样核查，该数据库蕴含患者姓名、ID号、社会安全号码（SSN）、住址、电话号码等幼我身份信息（PII），以及诊断纪录、医治规划、护理打算、出院表格等受�；そ∪畔ⅲ≒HI）。文件起源疑似指向医疗治理软件，部门文件夹直接以患者姓名定名，还佑装传真订单”“归并PDF文件”等分类，露出了患者与医疗服务提供者的具体活动日志、日程铺排等隐衷内容。Fowler于8月底初次发现数据泄露，9月1日-2日实现审查后，于9月4日向Archer Home Health发出掌管任披露警报，对方在24幼时内回应。然而，9月7日，暗网组织KillSec3已将Archer Health列入其泄密网站，并于次日公开泄露8GB数据。该组织此前被曝持久利用Grayhatwarfare等平台搜索公开露出的数据，通过下载并威胁实体进行勒索。

https://databreaches.net/2025/09/26/archer-health-was-leaking-protected-health-information-criminals-appear-to-have-found-it/

6. ApolloMD遭暗网组织麒麟威胁数据泄露

9月26日，暗网组织“麒麟”6月12日将医疗合作同伴ApolloMD列入其泄漏网站，宣称占有238GB文件并标注日期为6月6日。然而，麒麟未兑现6月16日公开数据的威胁，下载链接中未发现现实数据。ApolloMD总部位于佐治亚州，自1983年起作为医生辅导的个人集团，为医院提供临床运营、患者护理及财政优化服务。麒麟颁布的清单蕴含财政信息截图，但未涉及幼我身份信息（PII）或受�；そ∪畔ⅲ≒HI）。ApolloMD于9月15日在官网颁布代替通知，披露5月22日至23日产生未经授权接见，但未提及威胁者名称、文件加密情况或赎金要求。DataBreaches向其询问有关细节，截至目前未获回复。ApolloMD通知了11家关联医疗机构，蕴含帕塞克医院服务有限公司、彭萨科拉住院医师有限责任公司等，功夫领域从2015年7月至2025年9月。9月17日，ApolloMD向受影响患者发送通知信，明确泄露数据涉及患者姓名、诞生日期、地址、诊断信息、医疗服务提供者姓名、服务日期、医治信息及健全保险信息，部门患者可能露出社会安全号码（SSN）。CyberScout为患者提供免费信誉监控服务。

https://databreaches.net/2025/09/26/apollomd-notifies-patients-of-11-physician-practices-affected-by-a-june-cyberattack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研