นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยแคมเปญ social engineering ที่ซับซ้อนซึ่งมุ่งเป้าไปที่ธุรกิจที่ใช้ Salesforce โดยผู้โจมตีจะปลอมตัวเป็นเจ้าหน้าที่ฝ่าย IT เพื่อเข้าถึงข้อมูลลูกค้าที่มีความละเอียดอ่อนโดยไม่ได้รับอนุญาต การโจมตีนี้ประสบความสำเร็จในการเจาะระบบองค์กรอย่างน้อย 20 แห่งทั่วสหรัฐอเมริกาและยุโรป ซึ่งเน้นย้ำถึงภัยคุกคามที่ยังคงมีอยู่ของการโจมตีไซเบอร์ที่มุ่งเป้าไปที่มนุษย์ในสภาพแวดล้อมขององค์กร
สถิติการโจมตีและผลกระทบ
| ตัวชี้วัด | รายละเอียด |
|---|---|
| บริษัทที่ถูกโจมตี | องค์กรอย่างน้อย 20 แห่ง |
| ขอบเขตทางภูมิศาสตร์ | United States และ Europe |
| แพลตฟอร์มเป้าหมายหลัก | ระบบ CRM ของ Salesforce |
| เป้าหมายรอง | Microsoft 365 , Okta |
| วิธีการโจมตี | การหลอกลวงทางเสียง (vishing) |
| ไทม์ไลน์การขู่กรรโชก | ข้อเรียกร้องถูกส่งหลังจากการเจาะระบบเริ่มต้นหลายเดือน |
วิธีการโจมตีแบบ Voice Phishing
อาชญากรไซเบอร์เบื้องหลังแคมเปญนี้ใช้วิธีการที่ดูเรียบง่ายแต่มีประสิทธิภาพซึ่งเรียกว่า vishing หรือ voice phishing ผู้โจมตีจะติดต่อพนักงานโดยตรงทางโทรศัพท์ โดยปลอมตัวเป็นเจ้าหน้าที่ฝ่าย IT ที่ถูกต้องตามกฎหมายจากองค์กรของพวกเขา ในระหว่างการโทรเหล่านี้ พนักงานที่ไม่สงสัยจะถูกแนะนำให้เข้าไปเยี่ยมชมหน้าการตั้งค่า Salesforce ปลอม ซึ่งพวกเขาจะได้รับคำแนะนำให้ดาวน์โหลดสิ่งที่ดูเหมือนเป็นแอปพลิเคชัน Salesforce Data Loader ที่ถูกต้องตามกฎหมาย
เครื่องมือที่เป็นอันตรายเวอร์ชันนี้ แม้จะดูเหมือนกับซอฟต์แวร์ที่แท้จริง แต่จะให้สิทธิ์การเข้าถึงฐานข้อมูล Salesforce ขององค์กรโดยตรงแก่ผู้โจมตี เมื่อติดตั้งและเชื่อมต่อแล้ว อาชญากรสามารถสอบถาม เข้าถึง และส่งออกข้อมูลลูกค้าที่มีความละเอียดอ่อนและข้อมูลทางธุรกิจจำนวนมหาศาลได้ทันที ในสถานการณ์ทางเลือก ผู้โจมตีเพียงแค่ขอข้อมูลประจำตัวการเข้าสู่ระบบและรหัสการยืนยันตัวตนแบบหลายปัจจัยโดยตรงจากพนักงานในระหว่างการโทร
 |
|---|
| แป้นพิมพ์แล็ปท็อปที่ส่องแสงเป็นสัญลักษณ์ของแพลตฟอร์มดิจิทัลที่ผู้โจมตีใช้ประโยชน์ในระหว่างการโจมตีแบบ voice phishing |
การระบุตัวตนและการเชื่อมต่อเครือข่ายอาชญากร
Google's Threat Intelligence Group ได้ระบุกลุ่มหลักเบื้องหลังการโจมตีเหล่านี้ว่าคือ UNC6040 ซึ่งเชี่ยวชาญด้านเทคนิค social engineering ที่ใช้เสียง อย่างไรก็ตาม การดำเนินการดูเหมือนจะเกี่ยวข้องกับหน่วยงานอาชญากรหลายแห่งที่ทำงานร่วมกัน ข้อเรียกร้องการขู่กรรโชกที่แท้จริงมักจะไม่ปรากฏขึ้นจนกว่าจะผ่านไปหลายเดือนหลังจากการขโมยข้อมูลครั้งแรก ซึ่งบ่งบอกว่ากลุ่มรองจัดการขั้นตอนการสร้างรายได้ของการดำเนินการ
ผู้โจมตีเหล่านี้ได้แสดงให้เห็นการเชื่อมต่อกับระบบนิเวศอาชญากรไซเบอร์ที่กว้างขึ่งที่เรียกว่า The Com ซึ่งเป็นเครือข่ายแฮกเกอร์ที่เชื่อมโยงอย่างหลวมๆ ซึ่งตั้งอยู่หลักในสหรัฐอเมริกา สหราชอาณาจักร และยุโรปตะวันตก สมาชิกของกลุ่มนี้ รวมถึงกลุ่ม Scattered Spider ที่มีชื่อเสียงในทางที่ไม่ดี ได้เชื่อมโยงกับการโจมตีระดับสูงที่เกี่ยวข้องกับการปลอมตัวเป็นเจ้าหน้าที่ IT และการดำเนินการ SIM-swapping ที่มุ่งเป้าไปที่การขโมยสกุลเงินดิจิทัล
กลุ่มอาชญากรรมและการระบุตัวตน
| ชื่อกลุ่ม | บทบาท | ลักษณะเฉพาะ |
|---|---|---|
| UNC6040 | ผู้โจมตีหลัก | เชี่ยวชาญด้านการหลอกลวงทางสังคมผ่านการโทรศัพท์ |
| The Com | เครือข่ายที่กว้างขึ้น | แฮกเกอร์ที่เชื่อมโยงอย่างหลวมๆ จาก สหรัฐอเมริกา สหราชอาณาจักร ยุโรปตะวันตก |
| Scattered Spider | กลุ่มที่เกี่ยวข้อง | มีชื่อเสียงในการโจมตีด้วยการปลอมแปลงเป็นเจ้าหน้าที่ไอที |
| ShinyHunters | พันธมิตรที่อ้างว่าเป็น | ถูกกล่าวหาว่าช่วยเหลือในการข่มขู่เหยื่อ |
โครงสร้างพื้นฐานทางเทคนิคและวิธีการเข้าถึง
ผู้โจมตีใช้มาตรการความปลอดภัยในการดำเนินงานที่ซับซ้อนเพื่อปกปิดกิจกรรมของพวกเขา พวกเขาใช้ที่อยู่ IP ของ Mullvad VPN เพื่อเข้าถึงสภาพแวดล้อม Salesforce ที่ถูกบุกรุก ทำให้การระบุตัวตนและการติดตามเป็นเรื่องท้าทายมากขึ้นสำหรับทีมความปลอดภัย เมื่อสร้างการเข้าถึงเบื้องต้นแล้ว อาชญากรจะแสดงความสามารถในการเคลื่อนไหวด้านข้างขั้นสูง ขยายการเข้าถึงของพวกเขาไปยังแพลตฟอร์มบนคลาวด์อื่นๆ รวมถึงระบบ Microsoft 365 และ Okta
วิธีการของกลุ่มนี้ขยายไปเกินกว่าการขโมยข้อมูลประจำตัวอย่างง่าย พวกเขาเก็บเกี่ยวข้อมูลการยืนยันตัวตนอย่างเป็นระบบผ่านช่องทางหลายช่องทาง และใช้ข้อมูลประจำตัวเหล่านี้เพื่อสร้างการเข้าถึงที่ยั่งยืนในบริการคลาวด์ต่างๆ ภายในโครงสร้างพื้นฐานขององค์กรเป้าหมาย
ผลกระทบต่ออุตสาหกรรมและบริบทการละเมิดล่าสุด
แคมเปญนี้เกิดขึ้นท่ามกลางการโจมตีไซเบอร์ที่เพิ่มขึ้นซึ่งมุ่งเป้าไปที่ผู้ค้าปลีกและบริษัทใหญ่ เดือนที่ผ่านมาได้เห็นเหตุการณ์ความปลอดภัยที่สำคัญซึ่งส่งผลกระทบต่อแบรนด์ที่มีชื่อเสียง รวมถึง Marks & Spencer Group ซึ่งเผชิญกับผลกระทบ 300 ล้านปอนด์สเตอร์ลิงต่อกำไรจากการดำเนินงานจากการโจมตี ransomware ในเดือนเมษายน องค์กรอื่นๆ ที่ได้รับผลกระทบ ได้แก่ Co-op Group, Adidas AG, Victoria's Secret & Co., Cartier และ North Face แม้ว่าการวิจัยของ Google จะไม่ได้เชื่อมโยงเหตุการณ์เหล่านี้กับแคมเปญที่เน้น Salesforce อย่างชัดเจน
ผลกระทบจากการโจมตีไซเบอร์ต่อบริษัทในช่วงล่าสุด
| บริษัท | ผลกระทบ | ระยะเวลา |
|---|---|---|
| Marks & Spencer Group | ผลกำไรจากการดำเนินงานลดลง 300 ล้านปอนด์อังกฤษ | เมษายน 2024 |
| Co-op Group | เปิดเผยการถูกโจมตีไซเบอร์ | หลังจากเหตุการณ์ของ M&S ไม่นาน |
| Adidas AG | เหตุการณ์ด้านความปลอดภัยไซเบอร์ | สัปดาห์ที่ผ่านมา |
| Victoria's Secret & Co. | การละเมิดความปลอดภัย | สัปดาห์ที่ผ่านมา |
| Cartier | เหตุการณ์ด้านความปลอดภัยไซเบอร์ | สัปดาห์ที่ผ่านมา |
| North Face | การละเมิดความปลอดภัย | สัปดาห์ที่ผ่านมา |
ความปลอดภัยของแพลตฟอร์มและการตอบสนองของผู้ขาย
ทั้ง Google และ Salesforce เน้นย้ำว่าการโจมตีเหล่านี้ใช้ประโยชน์จากช่องโหว่ของมนุษย์มากกว่าข้อบกพร่องทางเทคนิคในแพลตฟอร์มเอง ตัวแทนของ Salesforce ยืนยันว่าไม่มีช่องโหว่ที่แท้จริงในบริการของพวกเขาที่ส่งผลต่อการละเมิดเหล่านี้ บริษัทได้เตือนลูกค้าเกี่ยวกับกลยุทธ์ social engineering ที่คล้ายกันในโพสต์บล็อกเดือนมีนาคม โดยให้คำแนะนำสำหรับการป้องกันการโจมตีดังกล่าว
เหตุการณ์เหล่านี้เน้นย้ำถึงความท้าทายที่ยังคงมีอยู่ของ social engineering ในความปลอดภัยไซเบอร์ ซึ่งแม้แต่พนักงานที่ได้รับการฝึกอบรมอย่างดีก็ยังสามารถตกเป็นเหยื่อของความพยายามปลอมตัวที่น่าเชื่อได้ แม้จะมีโปรแกรมการฝึกอบรมความตระหนักด้านความปลอดภัยอย่างครอบคลุม ผู้โจมตียังคงประสบความสำเร็จผ่านการจัดการมนุษย์โดยตรงมากกว่าการใช้ประโยชน์ทางเทคนิค