Trong năm qua, các tác nhân đe dọa đã nhắm mục tiêu vào khách hàng Salesforce trong các cuộc tấn công đánh cắp dữ liệu bằng kỹ thuật xã hội và các ứng dụng OAuth độc hại để xâm nhập các phiên bản Salesforce và tải xuống dữ liệu. Dữ liệu bị đánh cắp sau đó được sử dụng để tống tiền các công ty nếu không muốn dữ liệu bị rò rỉ công khai.

Các tác nhân đe dọa đã nhận trách nhiệm về các cuộc tấn công này và cho biết chúng là một phần của các nhóm tống tiền ShinyHunters, Scattered Spider và Lapsus$, hiện tự gọi mình là "Scattered Lapsus$ Hunters". Google theo dõi hoạt động của các nhóm tin tặc này với mã hiệu UNC6040 và UNC6395.

Vào tháng 3 năm nay, một trong những tác nhân đe dọa đã xâm nhập kho lưu trữ GitHub của Salesloft, nơi chứa mã nguồn riêng tư của công ty.

Nhóm ShinyHunters cho biết, các tác nhân đe dọa đã sử dụng công cụ bảo mật TruffleHog để quét mã nguồn nhằm tìm kiếm bí mật và phát hiện ra các mã thông báo OAuth cho nền tảng Salesloft Drift và Drift Email.

Salesloft Drift là một nền tảng của bên thứ ba kết nối tác nhân trò chuyện AI Drift với một phiên bản Salesforce, cho phép các tổ chức đồng bộ hóa các cuộc trò chuyện, khách hàng tiềm năng và các trường hợp hỗ trợ vào hệ thống quản lý quan hệ khách hàng (CRM) của họ. Drift Email được sử dụng để quản lý phản hồi email và sắp xếp cơ sở dữ liệu CRM và tự động hóa tiếp thị.

Sử dụng các mã thông báo Drift OAuth bị đánh cắp này, ShinyHunters cho biết, các tác nhân đe dọa đã đánh cắp khoảng 1,5 tỷ bản ghi dữ liệu của 760 công ty từ các bảng đối tượng Salesforce "Tài khoản", "Liên hệ", "Trường hợp", "Cơ hội" và "Người dùng".

Trong số các bản ghi này, khoảng 250 triệu bản ghi đến từ Tài khoản, 579 triệu bản ghi đến từ Liên hệ, 171 triệu bản ghi đến từ Cơ hội, 60 triệu bản ghi đến từ Người dùng và khoảng 459 triệu bản ghi đến từ các bảng Trường hợp (Case) của Salesforce.

Bảng Trường hợp được sử dụng để lưu trữ thông tin và văn bản từ các phiếu hỗ trợ do khách hàng của các công ty này gửi, mà với nhiều công ty công nghệ có thể bao gồm dữ liệu nhạy cảm.

Để chứng minh mình đứng sau vụ tấn công, tác nhân đe dọa đã chia sẻ một tệp văn bản liệt kê các thư mục mã nguồn trong kho lưu trữ GitHub của Salesloft bị xâm phạm.

Các chuyên gia nghiên cứu đã liên hệ với Salesloft để hỏi về số lượng hồ sơ này và tổng số công ty bị ảnh hưởng, nhưng không nhận được phản hồi. Tuy nhiên, một nguồn tin đã xác nhận rằng những con số này là chính xác.

Nhóm nghiên cứu về các mối đe dọa của Google Threat Intelligence (Mandiant) báo cáo rằng, dữ liệu Case bị đánh cắp đã được phân tích để tìm kiếm các bí mật ẩn, chẳng hạn như thông tin đăng nhập, mã thông báo xác thực và khóa truy cập, cho phép kẻ tấn công chuyển sang các môi trường khác để thực hiện các cuộc tấn công tiếp theo.

"Sau khi dữ liệu bị rò rỉ, tác nhân đã tìm kiếm các bí mật trong đó và sử dụng chúng để xâm phạm môi trường của nạn nhân", Google giải thích. "Nhóm Google Threat Intelligence đã phát hiện UNC6395 nhắm mục tiêu vào các thông tin đăng nhập nhạy cảm như khóa truy cập Amazon Web Services (AKIA), mật khẩu và mã thông báo truy cập liên quan đến Snowflake".

Các mã thông báo Drift và Drift Email bị đánh cắp đã được sử dụng trong các chiến dịch đánh cắp dữ liệu quy mô lớn nhắm vào các công ty lớn, bao gồm Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks và nhiều công ty khác.

Do quy mô lớn của các cuộc tấn công này, Cục điều tra liên bang Mỹ (FBI) gần đây đã đưa ra cảnh báo về các tác nhân đe dọa UNC6040 và UNC6395, đồng thời chia sẻ các trung tâm điều hành thông minh (IOC) được phát hiện trong các cuộc tấn công.

Tuần trước, các tác nhân đe dọa tự xưng là thành viên của Scattered Spider đã tuyên bố rằng, chúng dự định "ẩn mình" và ngừng thảo luận về các hoạt động trên nền tảng Telegram.

Trong một bài đăng chia tay, các tác nhân tuyên bố đã xâm phạm hệ thống Yêu cầu thực thi pháp luật (LERS) của Google, được các cơ quan thực thi pháp luật sử dụng để gửi yêu cầu dữ liệu, và nền tảng eCheck của FBI, được sử dụng để tiến hành kiểm tra lý lịch.

Sau khi liên hệ với Google về những tuyên bố này, công ty đã xác nhận rằng một tài khoản gian lận đã được thêm vào nền tảng LERS của mình. "Chúng tôi đã xác định được một tài khoản gian lận đã được tạo trong hệ thống của chúng tôi để phục vụ các yêu cầu của cơ quan thực thi pháp luật và đã vô hiệu hóa tài khoản đó", Google cho biết.

"Không có yêu cầu nào được thực hiện với tài khoản gian lận này và không có dữ liệu nào bị truy cập". Mặc dù các tác nhân đe dọa cho biết, chúng đã ngừng hoạt động, các nhà nghiên cứu từ ReliaQuest báo cáo rằng, chúng đã bắt đầu nhắm mục tiêu vào các tổ chức tài chính vào tháng 7/2025 và có khả năng sẽ tiếp tục thực hiện các cuộc tấn công.

Để bảo vệ khỏi các cuộc tấn công đánh cắp dữ liệu này, Salesforce khuyến nghị khách hàng nên tuân thủ các biện pháp bảo mật tốt nhất, bao gồm bật xác thực đa yếu tố (MFA), thực thi nguyên tắc đặc quyền tối thiểu và quản lý cẩn thận các ứng dụng được kết nối.

Hà Linh