Penyelidik keselamatan siber telah mendedahkan kempen kejuruteraan sosial yang canggih yang menyasarkan perniagaan yang menggunakan Salesforce, di mana penyerang menyamar sebagai kakitangan sokongan IT untuk mendapat akses tanpa kebenaran kepada data pelanggan yang sensitif. Serangan tersebut telah berjaya menjejaskan sekurang-kurangnya 20 organisasi di seluruh Amerika Syarikat dan Eropah, menonjolkan ancaman berterusan serangan siber berpusatkan manusia dalam persekitaran perusahaan.
Statistik Serangan dan Kesan
| Metrik | Butiran |
|---|---|
| Syarikat Yang Diserang | Sekurang-kurangnya 20 organisasi |
| Skop Geografi | United States dan Europe |
| Platform Sasaran Utama | Sistem CRM Salesforce |
| Sasaran Kedua | Microsoft 365 , Okta |
| Kaedah Serangan | Pancingan suara (vishing) |
| Garis Masa Pemerasan | Tuntutan dikeluarkan beberapa bulan selepas pencerobohan awal |
Kaedah Serangan Pancingan Suara
Penjenayah siber di sebalik kempen ini menggunakan pendekatan yang menipu tetapi berkesan yang dikenali sebagai vishing, atau pancingan suara. Penyerang menghubungi pekerja secara langsung melalui telefon, menyamar sebagai kakitangan sokongan IT yang sah dari organisasi mereka. Semasa panggilan ini, pekerja yang tidak curiga dibimbing untuk melawat halaman persediaan Salesforce palsu di mana mereka diarahkan untuk memuat turun apa yang kelihatan seperti aplikasi Salesforce Data Loader yang sah.
Versi hasad alat ini, walaupun kelihatan sama dengan perisian tulen, memberikan penyerang akses terus kepada pangkalan data Salesforce organisasi. Setelah dipasang dan disambungkan, penjenayah boleh segera membuat pertanyaan, mengakses, dan mengeksport sejumlah besar rekod pelanggan sensitif dan data perniagaan. Dalam senario alternatif, penyerang hanya meminta kelayakan log masuk dan kod pengesahan multifaktor secara langsung daripada pekerja semasa panggilan telefon.
 |
|---|
| Papan kekunci komputer riba yang bercahaya melambangkan platform digital yang dieksploitasi oleh penyerang semasa serangan pancingan suara |
Atribusi dan Sambungan Rangkaian Jenayah
Kumpulan Perisikan Ancaman Google telah mengenal pasti kumpulan utama di sebalik serangan ini sebagai UNC6040, yang pakar dalam teknik kejuruteraan sosial berasaskan suara. Walau bagaimanapun, operasi ini nampaknya melibatkan pelbagai entiti jenayah yang bekerja dalam koordinasi. Tuntutan pemerasan sebenar sering tidak muncul sehingga berbulan-bulan selepas kecurian data awal, menunjukkan kumpulan kedua mengendalikan fasa monetisasi operasi.
Penyerang ini telah menunjukkan sambungan kepada ekosistem penjenayah siber yang lebih luas yang dikenali sebagai The Com, rangkaian penggodam yang bergabung secara longgar yang berpangkalan terutamanya di Amerika Syarikat, United Kingdom, dan Eropah Barat. Ahli kolektif ini, termasuk kumpulan Scattered Spider yang terkenal, sebelum ini telah dikaitkan dengan serangan berprofil tinggi yang melibatkan penyamaran kakitangan IT dan operasi SIM-swapping yang menyasarkan kecurian mata wang kripto.
Kumpulan Jenayah dan Atribusi
| Nama Kumpulan | Peranan | Ciri-ciri |
|---|---|---|
| UNC6040 | Penyerang utama | Pakar dalam kejuruteraan sosial panggilan suara phishing |
| The Com | Rangkaian yang lebih luas | Penggodam yang bergabung secara longgar dari US, UK, Eropah Barat |
| Scattered Spider | Kumpulan yang berkaitan | Terkenal dengan serangan penyamaran kakitangan IT |
| ShinyHunters | Rakan kongsi yang didakwa | Didakwa membantu dengan pemerasan mangsa |
Infrastruktur Teknikal dan Kaedah Akses
Penyerang menggunakan langkah keselamatan operasi yang canggih untuk menyamarkan aktiviti mereka. Mereka menggunakan alamat IP Mullvad VPN untuk mengakses persekitaran Salesforce yang terjejas, menjadikan atribusi dan penjejakan lebih mencabar untuk pasukan keselamatan. Setelah akses awal diwujudkan, penjenayah menunjukkan keupayaan pergerakan sisi yang maju, meluaskan jangkauan mereka kepada platform berasaskan awan lain termasuk sistem Microsoft 365 dan Okta.
Metodologi kumpulan ini melangkaui kecurian kelayakan mudah. Mereka secara sistematik menuai maklumat pengesahan melalui pelbagai saluran dan menggunakan kelayakan ini untuk mewujudkan akses berterusan merentasi pelbagai perkhidmatan awan dalam infrastruktur organisasi sasaran.
Impak Industri dan Konteks Pelanggaran Terkini
Kempen ini muncul dalam latar belakang serangan siber yang meningkat yang menyasarkan peruncit utama dan syarikat. Bulan-bulan kebelakangan ini telah menyaksikan insiden keselamatan yang ketara yang menjejaskan jenama terkemuka termasuk Marks & Spencer Group, yang menghadapi impak 300 juta paun British kepada keuntungan operasi daripada serangan ransomware pada bulan April. Organisasi lain yang terjejas termasuk Co-op Group, Adidas AG, Victoria's Secret & Co., Cartier, dan North Face, walaupun penyelidikan Google tidak secara muktamad mengaitkan insiden ini dengan kempen yang memfokuskan Salesforce.
Kesan Serangan Siber Korporat Terkini
| Syarikat | Kesan | Garis Masa |
|---|---|---|
| Marks & Spencer Group | Kerugian keuntungan operasi GBP 300 juta | April 2024 |
| Co-op Group | Serangan siber didedahkan | Tidak lama selepas insiden M&S |
| Adidas AG | Insiden keselamatan siber | Minggu-minggu kebelakangan ini |
| Victoria's Secret & Co. | Pelanggaran keselamatan | Minggu-minggu kebelakangan ini |
| Cartier | Insiden keselamatan siber | Minggu-minggu kebelakangan ini |
| North Face | Pelanggaran keselamatan | Minggu-minggu kebelakangan ini |
Keselamatan Platform dan Respons Vendor
Kedua-dua Google dan Salesforce menekankan bahawa serangan ini mengeksploit kelemahan manusia dan bukannya kelemahan teknikal dalam platform itu sendiri. Wakil Salesforce mengesahkan bahawa tiada kelemahan yang wujud dalam perkhidmatan mereka menyumbang kepada pelanggaran ini. Syarikat itu sebelum ini telah memberi amaran kepada pelanggan tentang taktik kejuruteraan sosial yang serupa dalam siaran blog pada bulan Mac, menyediakan panduan untuk perlindungan terhadap serangan sedemikian.
Insiden ini menggariskan cabaran berterusan kejuruteraan sosial dalam keselamatan siber, di mana pekerja yang terlatih dengan baik pun boleh menjadi mangsa percubaan penyamaran yang meyakinkan. Walaupun program latihan kesedaran keselamatan yang meluas, penyerang terus menemui kejayaan melalui manipulasi manusia langsung dan bukannya eksploitasi teknikal.