Google cảnh báo về tấn công Vishing nhắm mục tiêu vào Salesforce

Được theo dõi với tên gọi UNC6040, những kẻ tấn công đã mạo danh nhân viên hỗ trợ công nghệ thông tin trong các cuộc gọi điện thoại với nhân viên tại các tổ chức mục tiêu, thuyết phục họ cho phép ứng dụng độc hại truy cập vào cổng thông tin Salesforce của doanh nghiệp.

Các tin tặc UNC6040 hướng dẫn nạn nhân truy cập vào trang thiết lập ứng dụng được kết nối của Salesforce, sau đó chấp thuận phiên bản đã sửa đổi và không được ủy quyền của ứng dụng Data Loader của Salesforce. Sau khi quyền truy cập được cấp, ứng dụng cho phép kẻ tấn công đánh cắp thông tin nhạy cảm từ nền tảng Salesforce bị xâm phạm. Dữ liệu sau đó được sử dụng để tống tiền tổ chức nạn nhân.

Google giải thích rằng: "Việc truy cập như vậy không chỉ dẫn đến mất dữ liệu trực tiếp mà còn là tiền đề cho các hoạt động di chuyển ngang hàng trong hệ thống mạng, cho phép kẻ tấn công xâm phạm các dịch vụ đám mây khác và mạng nội bộ của công ty". Các tin tặc đã đánh cắp dữ liệu bằng ứng dụng Data Loader của Salesforce và di chuyển sang các nền tảng khác, bao gồm Microsoft 365, Okta và Workplace.

Google lưu ý, trong tất cả các sự cố được quan sát, UNC6040 chỉ dựa vào kỹ nghệ xã hội để truy cập ban đầu chứ không phải khai thác lỗ hổng của Salesforce. Về phần mình, Salesforce đã cảnh báo về các cuộc tấn công như vậy từ nhiều tháng trước.

Google cảnh báo chiến dịch vẫn đang tiếp diễn, với mục tiêu tấn công nhắm vào khoảng 20 tổ chức, trong đó tập trung các lĩnh vực giáo dục, khách sạn, bán lẻ ở châu Mỹ và châu Âu. Theo gã khổng lồ công nghệ, nhóm này có thể đang hợp tác với một tác nhân đe dọa khác để kiếm tiền từ việc truy cập vào dữ liệu bị đánh cắp, đồng thời tuyên bố có liên hệ với nhóm tin tặc khét tiếng ShinyHunters, có khả năng nhằm tăng thêm áp lực cho nạn nhân.

Cơ sở hạ tầng UNC6040 được sử dụng để truy cập các ứng dụng Salesforce cũng lưu trữ một bảng điều khiển lừa đảo Okta mà nhóm này hướng dẫn nạn nhân truy cập đến. Trong các cuộc gọi điện thoại, các tin tặc cũng yêu cầu thông tin đăng nhập của người dùng và mã xác thực đa yếu tố để xác thực Salesforce Data Loader.

Cuộc điều tra của Google về các cuộc tấn công này đã phát hiện ra mối liên hệ giữa UNC6040 với nhóm tội phạm mạng The Com, thông qua các chiến thuật, kỹ thuật và quy trình (TTP) chồng chéo như kỹ nghệ xã hội, hướng dẫn hỗ trợ công nghệ thông tin, nhắm mục tiêu vào thông tin đăng nhập Okta và tập trung ban đầu vào người dùng nói tiếng Anh tại các công ty đa quốc gia.

“Chiến dịch này của UNC6040 đặc biệt đáng chú ý vì tập trung vào việc đánh cắp dữ liệu cụ thể từ Salesforce. Hơn nữa, hoạt động này nhấn mạnh một xu hướng rộng hơn và đáng lo ngại: Các tác nhân đe dọa ngày càng nhắm mục tiêu vào nhân viên hỗ trợ công nghệ thông tin như một phương thức chính để có được quyền truy cập ban đầu, khai thác vai trò của họ để xâm phạm dữ liệu doanh nghiệp có giá trị”, Google lưu ý.