FBI đang công bố bản cảnh báo nhanh (Flash) cho thấy Chỉ số Xâm phạm (IOC) liên quan đến các hoạt động mạng độc hại gần đây của các nhóm tội phạm UNC6040 và UNC6395, chịu trách nhiệm cho số lượng ngày càng tăng các vụ xâm nhập đánh cắp dữ liệu và tống tiền.

Theo FBI, cả hai nhóm tội phạm kể trên gần đây đều bị phát hiện đang nhắm mục tiêu vào các nền tảng Salesforce của các tổ chức thông qua các cơ chế truy cập ban đầu khác nhau. FBI đang công bố thông tin này để nâng cao nhận thức và cung cấp các IOC có thể được người nhận sử dụng cho mục đích nghiên cứu và bảo vệ mạng".

UNC6040 lần đầu tiên được nhóm Google Threat Intelligence (bộ phận chuyên nghiên cứu, phân tích và cung cấp thông tin tình báo về các mối đe dọa an ninh mạng trên toàn cầu của Google - Mandiant) tiết lộ vào tháng 6 vừa qua. Họ cảnh báo rằng kể từ cuối năm 2024, các tác nhân đe dọa đã sử dụng các cuộc tấn công kỹ thuật xã hội và lừa đảo trực tuyến để lừa nhân viên kết nối các ứng dụng OAuth Salesforce Data Loader độc hại với tài khoản Salesforce của công ty.

Trong một số trường hợp, các tác nhân đe dọa đã mạo danh nhân viên hỗ trợ CNTT của công ty, sử dụng các phiên bản được đổi tên của ứng dụng có tên là "My Ticket Portal".

Sau khi kết nối, các tác nhân đe dọa đã sử dụng ứng dụng OAuth để đánh cắp hàng loạt dữ liệu Salesforce của công ty, sau đó được nhóm tống tiền ShinyHunters sử dụng trong các nỗ lực tống tiền.

Trong các cuộc tấn công đánh cắp dữ liệu ban đầu này, ShinyHunters tuyên bố rằng, chúng chủ yếu nhắm vào các cơ sở dữ liệu "Tài khoản" và "Danh bạ", cả hai đều được sử dụng để lưu trữ dữ liệu về khách hàng của công ty.

Các cuộc tấn công đánh cắp dữ liệu này diễn ra trên diện rộng, ảnh hưởng đến các công ty lớn và nổi tiếng, chẳng hạn như Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior và Tiffany & Co.

Các cuộc tấn công đánh cắp dữ liệu sau đó vào tháng 8 cũng nhắm vào khách hàng của Salesforce, nhưng lần này đã sử dụng mã thông báo Drift OAuth và làm mới nền tảng tương tác bán hàng Salesloft bị đánh cắp để xâm nhập vào các phiên bản Salesforce của khách hàng.

Hoạt động này được theo dõi với mã hiệu UNC6395 và được cho là đã xảy ra trong khoảng thời gian từ ngày 08 đến ngày 18/8 vừa qua, với việc kẻ tấn công sử dụng mã thông báo để nhắm mục tiêu vào thông tin hỗ trợ của công ty được lưu trữ trong Salesforce.

Dữ liệu bị đánh cắp sau đó được phân tích để trích xuất bí mật, thông tin đăng nhập và mã thông báo xác thực được chia sẻ trong các trường hợp hỗ trợ, bao gồm khóa AWS, mật khẩu và mã thông báo Snowflake. Những thông tin đăng nhập này sau đó có thể được sử dụng để chuyển sang các môi trường đám mây khác để đánh cắp thêm dữ liệu.

Người đứng đầu của nền tảng Salesloft đã làm việc với Salesforce để thu hồi tất cả mã thông báo Drift và yêu cầu khách hàng xác thực lại với nền tảng. Sau đó, người ta phát hiện ra rằng, các tác nhân đe dọa cũng đã đánh cắp mã thông báo Drift Email, vốn được sử dụng để truy cập email của một số ít tài khoản Google Workspace.

Một cuộc điều tra của Mandiant đã xác định vụ tấn công bắt đầu vào tháng 3, khi kho lưu trữ GitHub của Salesloft bị xâm phạm, cho phép kẻ tấn công cuối cùng đánh cắp mã thông báo Drift OAuth.

Giống như các vụ tấn công trước đó, các vụ tấn công đánh cắp dữ liệu Drift mới này của Salesloft đã ảnh hưởng đến nhiều công ty, bao gồm Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks và nhiều công ty khác.

Mặc dù FBI không nêu tên các nhóm đứng sau các chiến dịch này, nhưng nhóm tống tiền ShinyHunters đã tuyên bố rằng chúng và các tác nhân đe dọa khác tự xưng là "Scattered Lapsus$ Hunters" đứng sau cả hai nhóm hoạt động này.

Nhóm tin tặc này tuyên bố có nguồn gốc và có sự trùng lặp với các nhóm tống tiền Lapsus$, Scattered Spider và ShinyHunters.

Hôm thứ Năm tuần trước, các tác nhân đe dọa đã thông báo qua một tên miền liên kết với BreachForums rằng, chúng dự định "ẩn mình" và ngừng thảo luận về các hoạt động trên Telegram.

Tuy nhiên, trong một bài đăng chia tay, các tin tặc tuyên bố đã truy cập được vào hệ thống kiểm tra lý lịch E-Check của FBI và hệ thống Yêu cầu thực thi Pháp luật của Google, đồng thời công bố ảnh chụp màn hình làm bằng chứng.

Nếu quyền truy cập này là hợp pháp, chúng sẽ mạo danh cơ quan thực thi pháp luật và thu thập hồ sơ nhạy cảm của các cá nhân.

Hiện tại, FBI từ chối bình luận và Google cũng chưa đề cập thêm về vấn đề này.

Hà Linh