ភ្នាក់ងារ FBI បានចេញការព្រមានបន្ទាន់ (FLASH) អំពីហេគឃ័រពីរឈ្មោះ UNC6040 និង UNC6395 កំពុងតែគ្រប់គ្រងមជ្ឈដ្ឋាន Saleforce របស់អង្គភាពដើម្បីលួចទិន្នន័យ និងចាប់ជម្រិត។
ការស៊ើបអង្កេតសហព័ន្ធ (FBI) កំពុងតែបញ្ចេញការព្រមាន (FLASH) ដើម្បីផ្សព្វផ្សាយពីសូចនាករ គ្រប់គ្រង (IOCs) ដែលពាក់ព័ន្ធនឹងសកម្មភាពសាយប័រព្យាបាទថ្មីៗនេះ ដោយក្រុមឧក្រិដ្ឋកម្មសាយប័រ UNC6040 និង UNC6395 ដែលទទួលខុសត្រូវលើកំណើនចំនួននៃការលួចទិន្នន័យ និងការជម្រិតទារប្រាក់។ ក្រុមទាំងពីរត្រូវបានសង្កេតឃើញថាបានកំណត់គោលដៅលើ Platform Salesforce របស់ស្ថាប័ន តាមរយៈយន្តការដំណើរការដំបូងប្លែកពីគ្នា។ ភ្នាក់ងារ FBI កំពុងតែបញ្ចេញព័ត៌មានដើម្បីបង្កើនការយល់ដឹង និងផ្តល់នូវ IOCs ដែលប្រហែលជាត្រូវបានប្រើដោយអ្នកទទួល (Recipients) សម្រាប់ការស្រាវជ្រាវ និងការពារណិតវើក។
ក្រុម UNC6040 ដំបូងរកឃើញដោយភ្នាក់ងារ Google Threat Intelligence (Mandiant) នៅខែមិថុនា ដែលបានព្រមានថា ចាប់តាំងពីចុងឆ្នាំ២០២៤ ហេគឃ័រកំពុងតែប្រើការវាយប្រហារបែប Social Engineering និង Vishing ដើម្បីបញ្ឆោតបុគ្គលិកឱ្យភ្ជាប់កម្មវិធី Salesforce Data Loader OAuth ព្យាបាទទៅកាន់គណនី Salesforce របស់ក្រុមហ៊ុនពួកគេ។ នៅក្នុងករណីខ្លះ ហេគឃ័របានបន្លំជាជំនួយការ IT សហគ្រាស ដែលបានប្រើ Renamed Versions របស់កម្មវិធីឈ្មោះ “My Ticket Portal”។
នៅពេលបានភ្ជាប់កម្មវិធីព្យាបាទ ហេគឃ័របានប្រើប្រាស់កម្មវិធី OAuth ដើម្បីលួចទិន្នន័យសហគ្រាស Salesforce ដ៏ច្រើន បន្ទាប់មកត្រូវបានប្រើប្រាស់នៅក្នុងការប៉ុនប៉ងចាប់ជម្រិតដោយក្រុមចាប់ជម្រិត ShinyHunters។ នៅក្នុងការវាយប្រហារលួចទិន្នន័យពីមុន ក្រុម ShinyHunters បានប្រាប់សារព័ត៌មាន BleepingComputer ថា ពួកគេមានគោលដៅលើ “គណនី (Account)” និង “លេខទំនាក់ទំនង (Contacts)” Database Tables ដែលត្រូវបានប្រើសម្រាប់រក្សាទិន្នន័យអតិថិជនរបស់ក្រុមហ៊ុន។ ការវាយប្រហារលួចទិន្នន័យទាំងនេះត្រូវបានពង្រីក ហើយបានប៉ះពាល់ដល់ក្រុមហ៊ុនធំៗល្បីៗដូចជា Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior និង Tiffany & Co។ ក្រោយមកការវាយប្រហារលួចទិន្នន័យក្នុងខែសីហាក៏មានគោលដៅលើអតិថិជន Salesforce ដែរ ប៉ុន្តែនៅពេលនេះបានប្រើ Salesforce Drift OAuth និង Refresh Tokens ដែលបានលួចសម្រាប់បំពានលើ Salesforce Instances របស់អតិថិជន។ សកម្មភាពនេះត្រូវបានតាមដានថាជាក្រុម UNC6395 ហើយត្រូវបានជឿជាក់ថា បានកើតឡើងនៅចន្លោះថ្ងៃទី០៨ និងថ្ងៃទី១៨ ខែសីហា ដោយហេគឃ័របានប្រើប្រាស់ Tokens សម្រាប់កំណត់គោលដៅករណីគាំទ្រព័ត៌មានរបស់ក្រុមហ៊ុន ដែលត្រូវបានរក្សាទុកនៅក្នុង Salesforce។ ទិន្នន័យដែលត្រូវបានលួចចេញ បន្ទាប់មកបានវិភាគដើម្បីទាញយកការសម្ងាត់ អត្តសញ្ញាណ និង Tokens ផ្ទៀងផ្ទាត់ដែលបានចែកចាយនៅក្នុងករណីគាំទ្ររួមមាន AWS Keys, លេខសម្ងាត់ និង Snowflake Tokens។ អត្តសញ្ញាណទាំងនេះក្រោយមកត្រូវបានប្រើសម្រាប់ចូលទៅក្នុងមជ្ឈដ្ឋាន Cloud សម្រាប់លួចទិន្នន័យបន្ថែមទៀត។ Salesloft បានធ្វើការជាមួយ Salesforce ដើម្បីដកហូត Drift Tokens ទាំងអស់ និងតម្រូវឱ្យអតិថិជនធ្វើការផ្ទៀងផ្ទាត់ឡើងវិញសម្រាប់ Platform។
បន្ទាប់មក វាត្រូវបានបង្ហាញថា ហេគឃ័រក៏បានលួច Drift Email Tokens ដែលត្រូវបានប្រើសម្រាប់ដំណើរការអ៊ីម៉ែលសម្រាប់គណនី Google Workspace មួយចំនួនតូចដែរ។ ការស៊ើបអង្កេតដោយ Mandiant បានកំណត់ការវាយប្រហារកាលពីខែមីនាថា នៅពេល Salesloft’s GitHub Repositories ត្រូវបានគ្រប់គ្រង ដែលអនុញ្ញាតឱ្យហេគឃ័រចុងក្រោយលួច Drift OAuth Tokens។ ដូចការវាយប្រហារមុនៗដែរ ការវាយប្រហារលួចទិន្នន័យ Salesloft Drift បានប៉ះពាល់ដល់ក្រុមហ៊ុនជាច្រើនរួមមាន Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks ជាដើម។
ខណៈភ្នាក់ងារ FBI មិនបានដាក់ឈ្មោះក្រុមនៅពីក្រោយយុទ្ធនាការទាំងនេះ សារព័ត៌មាន BleepingComputer ត្រូវបានក្រុមចាប់ជម្រិត ShinyHunters ប្រាប់ថា ពួកគេ និងហេគឃ័រដទៃទៀតហៅខ្លួនឯងថាជា “Scattered Lapsus$ Hunters” នៅពីក្រោយការវាយប្រហារទាំងនេះ។ ក្រុមហេគឃ័រនេះថ្លែងថា មានប្រភពដើមដូចគ្នាទៅនឹងក្រុមចាប់ជម្រិត Lapsus$, Scatered Spider និង ShinyHunters។ កាលពីថ្ងៃព្រហស្បតិ៍ ហេគឃ័របានប្រកាសតាមរយៈ Domain មួយដែលមានទំនាក់ទំនងជាមួយ BreachForums ថា ពួកគេមានផែនការផ្តាច់ទំនាក់ទំនង និងឈប់ពិភាក្សាពីប្រតិបត្តិការនៅលើ Telegram ទៀត។ ទោះជាយ៉ាងណា នៅក្នុងការបង្ហោះ ហេគឃ័របានថ្លែងពីការបង្កើនដំណើរការចូលទៅក្នុងប្រព័ន្ធត្រួតពិនិត្យ FBI’s E-Check Background និងប្រព័ន្ធស្នើសុំអនុវត្តច្បាប់របស់ Google ដែលបានចេញផ្សាយ Screenshots ជាភស្តុតាង។ បើពិត ដំណើរការនេះអនុញ្ញាតឱ្យពួកគេបន្លំការអនុវត្តច្បាប់ និងទាញយកកំណត់ត្រាសម្ងាត់របស់បុគ្គលបាន។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៤ ខែកញ្ញា ឆ្នាំ២០២៥
