Nhóm tin tặc – được Nhóm Tình báo Mối đe dọa của Google theo dõi dưới tên mã UNC6040 – đã “chứng tỏ đặc biệt hiệu quả trong việc lừa nhân viên” cài đặt phiên bản bị chỉnh sửa của Salesforce Data Loader, một công cụ độc quyền được sử dụng để nhập dữ liệu hàng loạt vào môi trường Salesforce, theo các nhà nghiên cứu.
 |
| Ảnh minh họa |
Tin tặc sử dụng các cuộc gọi thoại để lừa nhân viên truy cập vào một trang giả mạo được cho là trang thiết lập ứng dụng kết nối với Salesforce, nhằm phê duyệt phiên bản ứng dụng đã bị chỉnh sửa – được tin tặc tạo ra để mô phỏng Data Loader.
Nếu nhân viên cài đặt ứng dụng, tin tặc có thể “truy cập, truy vấn và trích xuất các thông tin nhạy cảm trực tiếp từ môi trường Salesforce của khách hàng đã bị xâm nhập,” các nhà nghiên cứu cho biết.
Quyền truy cập này cũng thường cho phép tin tặc di chuyển trong toàn bộ mạng lưới của khách hàng, tạo điều kiện cho các cuộc tấn công vào các dịch vụ đám mây khác và mạng nội bộ của công ty.
Hạ tầng kỹ thuật liên quan đến chiến dịch này có nhiều đặc điểm cho thấy có thể liên quan đến hệ sinh thái lỏng lẻo và rộng hơn được gọi là “The Com”, nổi tiếng với các nhóm tội phạm mạng nhỏ, phân tán và đôi khi có hoạt động bạo lực, theo các nhà nghiên cứu.
Một người phát ngôn của Google nói với Reuters rằng khoảng 20 tổ chức đã bị ảnh hưởng bởi chiến dịch của UNC6040, được quan sát trong vài tháng qua. Một phần trong số các tổ chức này đã bị đánh cắp dữ liệu thành công, người phát ngôn cho biết.
Một người phát ngôn của Salesforce nói với Reuters qua email rằng “không có dấu hiệu nào cho thấy vấn đề xuất phát từ lỗ hổng trong nền tảng của chúng tôi.” Người phát ngôn cũng nói rằng các cuộc gọi thoại được dùng để lừa nhân viên “là các cuộc tấn công kỹ thuật xã hội có mục tiêu, nhằm khai thác những kẽ hở trong nhận thức và thực hành an ninh mạng cá nhân.”
Người phát ngôn từ chối chia sẻ số lượng khách hàng bị ảnh hưởng, nhưng cho biết Salesforce “chỉ ghi nhận một số ít khách hàng bị ảnh hưởng” và khẳng định đây “không phải là vấn đề lan rộng.”
Salesforce đã cảnh báo khách hàng về các cuộc tấn công giả mạo qua điện thoại (vishing) và việc tin tặc lợi dụng các phiên bản bị chỉnh sửa độc hại của Data Loader trong một bài đăng trên blog vào tháng 3 năm 2025. (theo Reuters)
Bình luận