VietNetwork.Vn

Một chiến dịch đánh cắp dữ liệu trên diện rộng đã cho phép tin tặc xâm nhập vào nền tảng tự động hóa bán hàng Salesloft để đánh cắp mã thông báo OAuth và làm mới liên quan đến tác nhân trò chuyện trí tuệ nhân tạo (AI) Drift.

Hoạt động này được đánh giá là mang tính chất cơ hội và được cho là do một tác nhân đe dọa được Google Threat Intelligence Group và Mandiant theo dõi, có mã hiệu là UNC6395.


Các nhà nghiên cứu Austin Larsen, Matt Lin, Tyler McLellan và Omar ElAhdan cho biết: "Kể từ ngày 8 tháng 8 năm 2025, cho đến ít nhất là ngày 18 tháng 8 năm 2025, kẻ tấn công đã nhắm mục tiêu vào các phiên bản khách hàng của Salesforce thông qua mã thông báo OAuth bị xâm phạm liên quan đến ứng dụng bên thứ ba Salesloft Drift ".

Trong các cuộc tấn công này, kẻ tấn công đã bị phát hiện xuất một lượng lớn dữ liệu từ nhiều máy chủ Salesforce của doanh nghiệp, với mục đích có thể là thu thập thông tin đăng nhập để sau đó xâm phạm môi trường của nạn nhân. Những thông tin này bao gồm khóa truy cập Amazon Web Services (AKIA), mật khẩu và mã thông báo truy cập liên quan đến Snowflake.

UNC6395 cũng đã chứng minh nhận thức về bảo mật hoạt động bằng cách xóa các công việc truy vấn, mặc dù Google đang kêu gọi các tổ chức xem xét các nhật ký có liên quan để tìm bằng chứng về việc lộ dữ liệu, cùng với việc thu hồi khóa API, luân chuyển thông tin xác thực và thực hiện điều tra thêm để xác định mức độ xâm phạm.

Trong một thông báo phát hành ngày 20 tháng 8 năm 2025, Salesloft cho biết họ đã phát hiện ra một vấn đề bảo mật trong ứng dụng Drift và đã chủ động hủy kết nối giữa Drift và Salesforce. Sự cố này không ảnh hưởng đến những khách hàng không tích hợp với Salesforce.

Salesloft cho biết : "Một tác nhân đe dọa đã sử dụng thông tin xác thực OAuth để đánh cắp dữ liệu từ các phiên bản Salesforce của khách hàng chúng tôi. Tác nhân đe dọa đã thực hiện các truy vấn để lấy thông tin liên quan đến nhiều đối tượng Salesforce khác nhau, bao gồm Trường hợp, Tài khoản, Người dùng và Cơ hội."

Công ty cũng khuyến nghị quản trị viên xác thực lại kết nối Salesforce của họ để kích hoạt lại tích hợp. Quy mô chính xác của hoạt động này vẫn chưa được biết. Tuy nhiên, Salesloft cho biết họ đã thông báo cho tất cả các bên bị ảnh hưởng.

Trong tuyên bố hôm thứ Ba, Salesforce cho biết "một số ít khách hàng" đã bị ảnh hưởng, nêu rõ sự cố bắt nguồn từ "lỗi kết nối của ứng dụng".

"Sau khi phát hiện hoạt động này, Salesloft đã phối hợp với Salesforce để vô hiệu hóa các Mã thông báo Truy cập và Làm mới đang hoạt động, đồng thời xóa Drift khỏi AppExchange. Sau đó, chúng tôi đã thông báo cho những khách hàng bị ảnh hưởng", Salesforce cho biết thêm.

Sự phát triển này diễn ra khi các phiên bản Salesforce trở thành mục tiêu tích cực của các nhóm đe dọa có động cơ tài chính như UNC6040 và UNC6240 (hay còn gọi là ShinyHunters), nhóm sau này đã bắt tay với Scattered Spider (hay còn gọi là UNC3944) để bảo mật quyền truy cập ban đầu.

"Điều đáng chú ý nhất về các cuộc tấn công UNC6395 là cả quy mô lẫn tính kỷ luật", Cory Michal, Giám đốc An ninh (CSO) của AppOmni, cho biết. "Đây không phải là một vụ tấn công đơn lẻ; hàng trăm máy chủ Salesforce của các tổ chức cụ thể đã bị nhắm mục tiêu bằng cách sử dụng mã thông báo OAuth bị đánh cắp, và kẻ tấn công đã truy vấn và xuất dữ liệu một cách có hệ thống trên nhiều môi trường."

"Họ đã chứng minh được tính kỷ luật cao trong hoạt động, chạy các truy vấn có cấu trúc, tìm kiếm thông tin đăng nhập cụ thể và thậm chí còn cố gắng che giấu dấu vết bằng cách xóa các công việc. Sự kết hợp giữa quy mô, sự tập trung và kỹ năng chuyên môn làm nên sự nổi bật của chiến dịch này."

Michal cũng chỉ ra rằng nhiều tổ chức bị nhắm mục tiêu và xâm phạm chính là các công ty an ninh và công nghệ, cho thấy chiến dịch này có thể là "động thái mở đầu" như một phần của chiến lược tấn công chuỗi cung ứng rộng hơn.

"Bằng cách đầu tiên xâm nhập vào các nhà cung cấp và nhà cung cấp dịch vụ, những kẻ tấn công đã tự đặt mình vào vị thế có thể tấn công vào khách hàng và đối tác hạ nguồn", Michal nói thêm. "Điều này khiến đây không chỉ là một vụ xâm nhập SaaS đơn lẻ, mà còn có khả năng là nền tảng cho một chiến dịch lớn hơn nhiều nhằm khai thác các mối quan hệ tin cậy tồn tại trên toàn bộ chuỗi cung ứng công nghệ."