Cục Điều tra Liên bang (FBI) đã công bố cảnh báo chi tiết, tiết lộ các chỉ báo thỏa hiệp (IOCs) và chiến thuật được sử dụng bởi hai nhóm tội phạm mạng—UNC6040 và UNC6395—để xâm nhập Salesforce và gây ra các vụ rò rỉ dữ liệu nhạy cảm.

Phân tích Các Chiến dịch Xâm nhập Salesforce

Cảnh báo này, được phối hợp với Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (DHS/CISA), nhằm mục đích cung cấp thông tin tình báo có thể hành động.

Thông tin này giúp các đội bảo mật và quản trị viên hệ thống phát hiện, điều tra và ngăn chặn các chiến dịch tấn công tinh vi này.

UNC6040: Tấn công Social Engineering qua Vishing

Kể từ tháng 10/2024, UNC6040 đã phụ thuộc nhiều vào tấn công social engineering vishing (lừa đảo qua điện thoại) để lừa nhân viên trung tâm cuộc gọi.

Mục tiêu là để nhân viên cấp quyền truy cập vào tài khoản Salesforce, một bước quan trọng trong quá trình xâm nhập Salesforce.

Các đối tượng tấn công mạo danh là đại diện hỗ trợ IT, hướng dẫn nạn nhân đóng một yêu cầu dịch vụ giả mạo và thuyết phục họ chia sẻ thông tin đăng nhập hoặc mã xác thực đa yếu tố (MFA).

Trong nhiều trường hợp, các đối tượng đe dọa hướng nạn nhân đến trang thiết lập ứng dụng kết nối của Salesforce, lừa họ cấp quyền cho một ứng dụng Data Loader giả mạo.

Sau khi được phê duyệt, ứng dụng kết nối độc hại này cấp các OAuth tokens.

Các token này xuất hiện hợp lệ đối với hệ thống Salesforce, qua đó bỏ qua các biện pháp phòng thủ thông thường như đặt lại mật khẩu, cảnh báo đăng nhập và thách thức MFA.

Sự tích hợp trái phép sau đó cho phép đánh cắp dữ liệu hàng loạt qua các truy vấn API mà không gây nghi ngờ ngay lập tức.

UNC6395: Lạm dụng OAuth Token qua Ứng dụng Bên thứ Ba

Ngược lại, UNC6395 đã lạm dụng các OAuth tokens bị thỏa hiệp.

Các token này được liên kết với ứng dụng chatbot Salesloft Drift vào tháng 8/2025.

Sau khi có được các token hợp lệ, các đối tượng của UNC6395 đã truy cập và đánh cắp dữ liệu khách hàng trực tiếp thông qua tích hợp Salesloft đáng tin cậy.

Salesforce và Salesloft đã nhanh chóng vô hiệu hóa tất cả các token truy cập và làm mới đang hoạt động cho ứng dụng Drift vào ngày 20 tháng 8.

Hành động này đã cắt đứt quyền truy cập liên tục của những kẻ tấn công.

Các Chỉ báo Thỏa hiệp (IOCs) từ Mối Đe Dọa Mạng

Cảnh báo của FBI công bố danh sách đầy đủ các địa chỉ IP, URL và chuỗi user-agent liên quan đến hoạt động của cả UNC6040 và UNC6395. Xem chi tiết cảnh báo FBI tại đây.

IOCs của UNC6040

• Địa chỉ IP độc hại: Hơn 100 địa chỉ IP, bao gồm:
  • 13.67.175.79
  • 20.190.130.40
  • 23.145.40.165
  • 146.70.211.119
  • và nhiều địa chỉ khác.
• URL được sử dụng trong vishing và exfiltration:
  • login.salesforce[.]com/setup/connect (với các tham số user_code đa dạng)
  • Các miền giả mạo như help[victim][.]com
  • Các script PHP được lưu trữ trên máy chủ do kẻ tấn công kiểm soát.

IOCs của UNC6395

• Địa chỉ IP độc hại: Khoảng 20 địa chỉ IP, bao gồm:
  • 208.68.36.90
  • 154.41.95.2
  • 185.220.101.180
• Chuỗi User-Agent:
  • Salesforce-Multi-Org-Fetcher/1.0
  • Salesforce-CLI/1.0
  • python-requests/2.32.4

Những hiện vật này cho phép các nhà phòng thủ điều chỉnh các quy tắc phát hiện, chặn lưu lượng độc hại và thực hiện phân tích nhật ký hồi cứu để khám phá các vụ xâm nhập lén lút.

Biện pháp Phòng ngừa và Tăng cường An ninh Mạng

Để tăng cường khả năng phục hồi chống lại các chiến dịch đánh cắp dữ liệu dựa trên OAuth này, FBI khuyến nghị các tổ chức áp dụng một phương pháp tiếp cận phòng thủ đa lớp.

Đào tạo và Xác thực Mạnh mẽ

Đào tạo nhân viên trung tâm cuộc gọi và hỗ trợ để nhận biết các chiêu trò kỹ thuật xã hội là rất cần thiết.

Việc thực thi MFA chống lừa đảo trên tất cả các dịch vụ hướng ra bên ngoài cũng quan trọng không kém để bảo vệ hệ thống khỏi các nỗ lực xâm nhập Salesforce.

Kiểm soát Truy cập và Giám sát

Triển khai các kiểm soát xác thực, ủy quyền và kế toán (AAA) nghiêm ngặt giúp thực thi nguyên tắc đặc quyền tối thiểu.

Điều này giới hạn các tích hợp của bên thứ ba chỉ với những tích hợp có nhu cầu kinh doanh đã được xác minh.

Các tổ chức cũng nên thực thi các hạn chế truy cập dựa trên IP trên các nền tảng quan trọng.

Liên tục giám sát việc sử dụng API để tìm các mẫu truy vấn bất thường.

Các mẫu này có thể chỉ ra việc trích xuất dữ liệu hàng loạt, một dấu hiệu rõ ràng của rò rỉ dữ liệu.

Kiểm toán và Quản lý Tích hợp

Kiểm toán định kỳ các ứng dụng của bên thứ ba được kết nối với các phiên bản Salesforce có thể phát hiện các tích hợp cũ hoặc trái phép.

Việc xoay vòng khóa API và thu hồi các OAuth tokens không sử dụng sẽ giảm thêm bề mặt tấn công.

Các nhà phòng thủ mạng được khuyến nghị kiểm tra nhật ký để tìm các kết nối giống với các IOC độc hại đã biết.

Cần tương quan các sự kiện khác nhau để lập bản đồ các chuỗi thỏa hiệp tiềm ẩn.

Đồng thời, cần tận dụng các hệ thống phát hiện xâm nhập (IDS) được điều chỉnh theo các địa chỉ IP và định danh user-agent đã liệt kê.

Bằng cách chia sẻ các IOC và phương pháp tấn công này, FBI mong muốn thúc đẩy các biện pháp phòng thủ chủ động và sự hợp tác cộng đồng.

Các tổ chức phát hiện hoạt động đáng ngờ hoặc có thêm thông tin tình báo được khuyến khích liên hệ với Đội đặc nhiệm mạng FBI tại địa phương hoặc báo cáo sự cố thông qua Trung tâm Khiếu nại Tội phạm Internet của FBI.

Chia sẻ nhanh chóng dữ liệu mối đe dọa sẽ giúp ngăn chặn các vụ xâm nhập trong tương lai và bảo vệ thông tin khách hàng nhạy cảm trong môi trường đám mây.