Google Threat Intelligence Group (GTIG) đã công bố một cảnh báo quan trọng về chiến dịch đánh cắp dữ liệu quy mô lớn, nhắm mục tiêu vào các phiên bản Salesforce của doanh nghiệp thông qua tích hợp Drift. Hoạt động độc hại này đã phơi bày một mối đe dọa mạng đáng kể, yêu cầu các tổ chức phải tăng cường các biện pháp an ninh mạng để bảo vệ tài sản kỹ thuật số của mình.

Hoạt Động Đánh Cắp Dữ Liệu và Mục Tiêu Của UNC6395

Bắt đầu từ ngày 8 tháng 8 năm 2025, nhóm tấn công UNC6395 đã khai thác các access token và refresh token hợp lệ liên quan đến ứng dụng Salesloft Drift.

Chúng sử dụng các token này để kết nối với tư cách là người dùng ứng dụng được xác thực, thực thi các truy vấn SOQL (Salesforce Object Query Language) quy mô lớn.

Mục tiêu chính là xuất các bản ghi từ các đối tượng Salesforce quan trọng, bao gồm Accounts (Tài khoản khách hàng), Opportunities (Cơ hội bán hàng), Users (Người dùng hệ thống) và Cases (Các yêu cầu hỗ trợ hoặc sự cố).

Đây là một phương thức tinh vi để thu thập thông tin nhạy cảm, có khả năng ảnh hưởng sâu rộng đến hoạt động kinh doanh và dữ liệu khách hàng.

Kỹ Thuật Đánh Cắp Dữ Liệu Chi Tiết Của UNC6395

UNC6395 đã chứng minh sự tinh vi trong việc lựa chọn mục tiêu và tối ưu hóa quá trình đánh cắp dữ liệu. Trước khi thực hiện các cuộc tấn công chi tiết, nhóm này thường xuyên chạy các truy vấn SOQL count để thăm dò.

SELECT count() FROM Account
SELECT count() FROM Contact
SELECT count() FROM Lead
SELECT count() FROM Opportunity

Bằng cách liệt kê kích thước các đối tượng trước, kẻ tấn công có thể nhanh chóng xác định các mục tiêu có giá trị cao nhất và quy mô của dữ liệu có sẵn.

Sau đó, chúng thực hiện các truy vấn mục tiêu hơn, ví dụ như để truy xuất những người dùng hoạt động gần đây nhất và các trường hợp chi tiết.

Mục đích là tối đa hóa việc thu hồi thông tin mật, tập trung vào những dữ liệu có thể mang lại lợi ích cao nhất.

Việc tập trung vào các đối tượng như Users (để lấy danh sách người dùng và vai trò) và Cases (chứa thông tin về sự cố, hỗ trợ, có thể bao gồm thông tin kỹ thuật hoặc nhạy cảm) cho thấy ý đồ tìm kiếm các điểm yếu hoặc thông tin có thể mở rộng quyền truy cập.

Phân Tích Dữ Liệu Sau Khi Đánh Cắp và Tìm Kiếm Thông Tin Mật

Sau khi dữ liệu được trích xuất (exfiltration) ra khỏi môi trường Salesforce, kẻ tấn công không dừng lại mà tiếp tục thực hiện tìm kiếm tại chỗ các tài liệu nhạy cảm bên trong kho dữ liệu bị đánh cắp.

Các loại tài liệu được tìm kiếm đặc biệt bao gồm AWS access keys (AKIA), mật khẩu, và Snowflake tokens.

Sự hiện diện của những loại thông tin xác thực này trong dữ liệu Salesforce bị xâm phạm tạo ra một rủi ro bảo mật nghiêm trọng.

Việc thu thập các khóa truy cập và token này cho phép kẻ tấn công mở rộng quyền truy cập sang các hệ thống hoặc dịch vụ đám mây khác, như Amazon Web Services hoặc Snowflake.

Điều này có thể dẫn đến một chuỗi tấn công phức tạp hơn, từ chiếm quyền kiểm soát các tài nguyên đám mây đến việc đánh cắp dữ liệu từ các nền tảng khác.

Khả năng khai thác chéo này làm tăng đáng kể mức độ nghiêm trọng của sự cố, biến nó từ một vụ đánh cắp dữ liệu đơn lẻ thành một mối đe dọa đa nền tảng.

Phát Hiện Tấn Công và Dấu Vết Kỹ Thuật

Mặc dù UNC6395 đã thể hiện sự tinh vi bằng cách xóa các công việc truy vấn (query jobs) để cản trở quá trình phát hiện tấn công, nhưng hệ thống Salesforce vẫn ghi lại các log sự kiện.

Các log sự kiện của Salesforce vẫn còn nguyên vẹn, cung cấp bằng chứng quan trọng về hoạt động của kẻ tấn công.

Điều này cho phép các tổ chức bị ảnh hưởng theo dõi hoạt động và xác định chính xác phạm vi của cuộc tấn công đánh cắp dữ liệu.

Khả năng truy vết thông qua log sự kiện là một yếu tố then chốt trong quá trình điều tra pháp y kỹ thuật số (digital forensics) và ứng phó sự cố.

UNC6395 đã chứng minh nhận thức về bảo mật hoạt động (operational security awareness) bằng cách cố gắng xóa các dấu vết kiểm toán truy vấn, nhưng không thành công hoàn toàn trong việc duy trì trạng thái ẩn mình.

Đây là một lời nhắc nhở quan trọng về giá trị của việc ghi log sự kiện đầy đủ và không thể thay đổi trong các hệ thống doanh nghiệp.

Phạm Vi Tác Động và Xác Minh Tình Trạng An Toàn

Salesloft đã làm rõ rằng chỉ những khách hàng đã kích hoạt và đang sử dụng tích hợp của Salesloft với Salesforce thông qua Drift mới bị ảnh hưởng trực tiếp bởi chiến dịch đánh cắp dữ liệu này.

Ngược lại, các khách hàng của Google Cloud không sử dụng tích hợp này không phải đối mặt với bất kỳ sự phơi nhiễm nào đã biết liên quan đến sự cố này.

Tuy nhiên, bất kỳ tổ chức nào đang sử dụng Drift nói chung cần chủ động kiểm tra các đối tượng Salesforce của mình.

Cụ thể, việc rà soát các khóa tài khoản dịch vụ Google Cloud Platform (GCP service account keys) và các bí mật khác là tối quan trọng, do chúng có thể đã bị đánh cắp trong quá trình tấn công.

Việc kiểm tra này là cần thiết để đảm bảo không có thông tin nhạy cảm nào đã bị rò rỉ và sử dụng cho mục đích xấu. Để biết thêm thông tin chi tiết và cập nhật, bạn có thể tham khảo blog của Google Cloud Threat Intelligence Group (GTIG) tại đây.

Biện Pháp Phối Hợp và Khắc Phục Khẩn Cấp

Vào ngày 20 tháng 8 năm 2025, Salesloft và Salesforce đã phối hợp hành động nhanh chóng. Họ đã thu hồi tất cả các Drift token đang hoạt động để ngăn chặn các truy cập trái phép tiếp theo.

Đồng thời, ứng dụng này cũng bị loại bỏ khỏi AppExchange, nền tảng ứng dụng của Salesforce, để phục vụ quá trình điều tra sâu hơn và đảm bảo an toàn cho người dùng.

Điều quan trọng cần nhấn mạnh là sự cố này không bắt nguồn từ một lỗ hổng hay sơ hở trong nền tảng cốt lõi của Salesforce. Thay vào đó, nó liên quan đến việc lạm dụng tích hợp của bên thứ ba, làm nổi bật tầm quan trọng của việc đánh giá an ninh cho các ứng dụng tích hợp.

GTIG, Salesloft và Salesforce đã chủ động thông báo cho các tổ chức bị ảnh hưởng về vụ đánh cắp dữ liệu này. Các khách hàng bị tác động nên ngay lập tức coi dữ liệu Salesforce của họ là đã bị xâm phạm và cần thực hiện các hành động khắc phục khẩn cấp:

• Thay đổi thông tin xác thực: Xoay vòng (rotate) tất cả các thông tin xác thực (username/password, API keys, tokens) cho các ứng dụng kết nối của Salesloft Drift. Đồng thời, cần thực hiện tương tự cho bất kỳ hệ thống nào khác mà các thông tin xác thực bị lộ có thể đã được sử dụng hoặc có liên quan.
• Kiểm tra thông tin bị lộ: Rà soát và kiểm tra kỹ lưỡng tất cả các thông tin xác thực bị lộ đã được chèn vào các đối tượng trong môi trường Salesforce của họ để xác định phạm vi ảnh hưởng.
• Giám sát liên tục: Thiết lập và tăng cường cơ chế giám sát mạnh mẽ để phát hiện các hoạt động bất thường hoặc truy cập trái phép trong tương lai.
• Đánh giá bảo mật toàn diện: Thực hiện đánh giá bảo mật toàn diện trên toàn bộ môi trường Salesforce và các hệ thống liên quan để xác định và khắc phục mọi rủi ro bảo mật tiềm ẩn khác.

Các hướng dẫn bổ sung và cập nhật chi tiết có sẵn trên Salesloft Trust Center tại đây và các trang tư vấn của Salesforce.

Giám sát liên tục và việc xoay vòng thông tin xác thực nhanh chóng vẫn là yếu tố then chốt để giảm thiểu rủi ro bảo mật do UNC6395 gây ra.

Việc đối phó với các cuộc tấn công đánh cắp dữ liệu đòi hỏi một cách tiếp cận chủ động, phản ứng nhanh chóng và hợp tác chặt chẽ giữa các bên để bảo vệ tài sản thông tin quý giá của doanh nghiệp trong môi trường an ninh mạng ngày càng phức tạp.