Một chiến dịch tấn công mạngvoice phishing tinh vi đang đặt ra mối đe dọa đáng kể cho các tổ chức trên toàn thế giới. Các tin tặc đã xâm nhập thành công vào môi trường Salesforce, đánh cắp dữ liệu nhạy cảm và yêu cầu tiền chuộc.

Chiến dịch Voice Phishing UNC6040 nhắm mục tiêu Salesforce

Nhóm Tình báo Đe dọa của Google (Google’s Threat Intelligence Group) đã xác định chiến dịch này là một chiến dịch có động cơ tài chính. Nhóm này gọi nhóm tin tặc chính là UNC6040.

UNC6040 đã thể hiện sự thành công đáng báo động trong việc xâm nhập mạng lưới doanh nghiệp thông qua các cuộc tấn công kỹ thuật xã hội qua điện thoại đầy thuyết phục.

Chiến lược lừa đảo của nhóm bao gồm việc giả mạo nhân viên hỗ trợ IT trong các cuộc gọi điện thoại tới các nhân viên không nghi ngờ. Những kẻ tấn công này chủ yếu nhắm vào các chi nhánh nói tiếng Anh của các tập đoàn đa quốc gia.

Chúng khai thác sự tin tưởng của nhân viên vào những người có vẻ là nhân viên hỗ trợ kỹ thuật. Trong các cuộc gọi gian lận này, tội phạm hướng dẫn nạn nhân thực hiện một quy trình có vẻ hợp pháp.

Thực tế, quy trình này cấp quyền truy cập trái phép vào các phiên bản Salesforce của tổ chức mục tiêu.

Kỹ thuật khai thác ứng dụng kết nối Salesforce

Phương pháp của kẻ tấn công tập trung vào việc thao túng nạn nhân ủy quyền các ứng dụng kết nối độc hại trong cổng thông tin Salesforce của họ.

Chúng thực hiện điều này bằng cách hướng dẫn nhân viên đến trang thiết lập ứng dụng kết nối của Salesforce. Sau đó, họ yêu cầu phê duyệt một ứng dụng trông có vẻ hợp pháp, chẳng hạn như ứng dụng Data Loader.

Tuy nhiên, ứng dụng này thực chất là một phiên bản sửa đổi do các tác nhân đe dọa kiểm soát. Nó mang những tên hoặc thương hiệu khác nhau để tránh bị phát hiện.

Khi được ủy quyền, ứng dụng độc hại này sẽ cung cấp cho tin tặc khả năng mở rộng để truy cập, truy vấn và rò rỉ dữ liệu nhạy cảm. Dữ liệu này được trích xuất trực tiếp từ các môi trường Salesforce bị xâm nhập.

Sự cố của Google và mức độ ảnh hưởng

Thậm chí cả phiên bản Salesforce nội bộ của Google cũng trở thành nạn nhân của hoạt động tương tự từ UNC6040 vào tháng 6. Sự cố này đã ảnh hưởng đến thông tin liên hệ của các doanh nghiệp nhỏ và vừa.

Trong khi Google nhanh chóng phản ứng và giới hạn việc xâm phạm chỉ ở thông tin kinh doanh cơ bản. Vụ việc này vẫn minh chứng cho phạm vi và hiệu quả rộng lớn của chiến dịch.

Chiến dịch có khả năng thành công ngay cả đối với các tổ chức có ý thức bảo mật cao.

Giai đoạn tống tiền do UNC6240 thực hiện

Sau khi đánh cắp dữ liệu thành công, một nhóm đe dọa thứ cấp được gọi là UNC6240 bắt đầu các hoạt động tống tiền.

Đôi khi, chúng chờ đợi vài tháng trước khi liên hệ với nạn nhân. Các nỗ lực tống tiền này thường bao gồm liên lạc trực tiếp với nhân viên của tổ chức mục tiêu.

Chúng yêu cầu thanh toán bằng Bitcoin trong thời hạn 72 giờ. Những kẻ tống tiền liên tục tuyên bố liên kết với nhóm hacker khét tiếng ShinyHunters.

Điều này có thể là một chiến thuật tâm lý để tăng áp lực lên nạn nhân. Các báo cáo tình báo của Google (tham khảo tại Google Cloud Blog) gợi ý rằng các tác nhân đe dọa này có thể đang chuẩn bị leo thang chiến thuật.

Chúng có thể ra mắt một trang web rò rỉ dữ liệu. Trang này sẽ cung cấp một nền tảng để công khai thông tin bị đánh cắp nếu yêu cầu tiền chuộc không được đáp ứng.

Sự phát triển này thể hiện một sự leo thang đáng kể trong khả năng của nhóm. Nó cũng cho thấy cam kết của chúng trong việc kiếm tiền từ dữ liệu bị đánh cắp thông qua nhiều điểm áp lực khác nhau.

IOCs – Chỉ số xâm nhập của nhóm đe dọa

Dưới đây là các chỉ số xâm nhập (Indicators of Compromise – IOCs) liên quan đến các nhóm đe dọa:

• Nhóm đe dọa chính thực hiện vishing và xâm nhập: UNC6040
• Nhóm đe dọa thứ cấp thực hiện tống tiền: UNC6240
• Tuyên bố liên kết để gây áp lực: ShinyHunters

Chiến lược phòng thủ và an toàn thông tin cho Salesforce

Các chuyên gia bảo mật nhấn mạnh rằng việc phòng thủ chống lại các cuộc tấn công kỹ thuật xã hội tinh vi này đòi hỏi phải triển khai các chiến lược bảo vệ toàn diện.

Nguyên tắc đặc quyền tối thiểu và quản lý quyền truy cập

Các tổ chức nên tuân thủ nghiêm ngặt nguyên tắc đặc quyền tối thiểu (least privilege), đặc biệt đối với các công cụ truy cập dữ liệu như Data Loader.

Data Loader yêu cầu quyền “API Enabled” để có đầy đủ chức năng. Quyền mạnh mẽ này cho phép khả năng xuất dữ liệu rộng rãi và phải được kiểm soát cẩn thận cũng như kiểm toán thường xuyên.

Việc kiểm soát chặt chẽ quyền truy cập giúp hạn chế khả năng của kẻ tấn công trong việc lợi dụng các công cụ hợp pháp.

Quản lý ứng dụng kết nối và hạn chế quyền quản trị

Các biện pháp bảo mật quan trọng bao gồm quản lý chặt chẽ các ứng dụng kết nối. Các tổ chức cần kiểm soát cách các ứng dụng bên ngoài tương tác với môi trường Salesforce của họ.

Các nhân viên quản trị chỉ nên giới hạn các quyền mạnh mẽ như “Customize Application” và “Manage Connected Apps” cho những nhân viên đáng tin cậy và cần thiết.

Việc rà soát và giới hạn quyền định kỳ sẽ giảm thiểu bề mặt tấn công. Nó ngăn chặn kẻ tấn công lợi dụng các quyền quản trị cao.

Hạn chế truy cập dựa trên IP và giám sát nâng cao

Ngoài ra, việc triển khai các hạn chế truy cập dựa trên IP (IP-based access restrictions) có thể chống lại các nỗ lực truy cập trái phép. Kẻ tấn công thường sử dụng các VPN thương mại để che giấu danh tính.

Chiến dịch này làm nổi bật bản chất đang phát triển của tội phạm mạng. Các biện pháp bảo mật truyền thống phải được bổ sung bằng giáo dục người dùng toàn diện.

Hệ thống giám sát mạnh mẽ cũng cần được triển khai để phát hiện các mẫu truy cập dữ liệu bất thường và cài đặt ứng dụng trái phép. Điều này tạo ra một lớp phòng thủ chủ động chống lại các mối đe dọa phức tạp.