CyberThao
Writer
Cục Điều tra Liên bang Mỹ (FBI) vừa phát đi cảnh báo khẩn về các chỉ số xâm phạm (IoC) liên quan đến hai nhóm tội phạm mạng UNC6040 và UNC6395. Cả hai nhóm này đều bị phát hiện nhắm mục tiêu vào nền tảng Salesforce, thực hiện các cuộc tấn công đánh cắp dữ liệu và tống tiền.
Theo FBI, UNC6395 đã triển khai một chiến dịch tấn công quy mô lớn vào tháng 8/2025, khai thác mã thông báo OAuth bị xâm phạm của ứng dụng Salesloft Drift để truy cập máy chủ Salesforce. Nguyên nhân được xác định là do tài khoản GitHub của Salesloft bị xâm phạm trong giai đoạn từ tháng 3 đến tháng 6/2025.
Salesloft cho biết họ đã cô lập hạ tầng Drift, tạm ngưng hoạt động chatbot AI, triển khai quy trình xác thực đa yếu tố mới và nâng cấp bảo mật GitHub. Công ty khuyến cáo khách hàng coi tất cả tích hợp Drift và dữ liệu liên quan đều có khả năng bị xâm phạm.
UNC6040, được Google theo dõi từ tháng 10/2024, là một nhóm tin tặc có động cơ tài chính. Nhóm này sử dụng các chiến dịch lừa đảo để chiếm quyền truy cập ban đầu, sau đó khai thác Salesforce bằng phiên bản chỉnh sửa của ứng dụng Data Loader và tập lệnh Python nhằm đánh cắp khối lượng lớn dữ liệu. Một số vụ việc dẫn đến hoạt động tống tiền nhiều tháng sau khi dữ liệu bị lấy cắp.
Google cho rằng giai đoạn tống tiền có sự tham gia của một nhóm khác là UNC6240, vốn thường mạo danh ShinyHunters. Nhóm này còn có dấu hiệu chuẩn bị tung ra trang web rò rỉ dữ liệu (DLS) để tăng áp lực với nạn nhân.
Tháng 9/2025, ShinyHunters được cho là đã hợp tác với Scattered Spider và LAPSUS$ nhằm củng cố hoạt động tội phạm. Tuy nhiên, ngày 12/9/2025, liên minh này bất ngờ tuyên bố “giải nghệ” trên kênh Telegram với tên gọi "scattered LAPSUS$ hunters 4.0".
Các chuyên gia an ninh mạng cảnh báo rằng tuyên bố giải tán thường không đồng nghĩa với việc mối đe dọa chấm dứt. Nhóm có thể đổi tên, tách nhỏ, tái tổ chức hoặc tiếp tục khai thác dữ liệu đã đánh cắp. Do đó, các tổ chức cần duy trì cảnh giác và chủ động bảo mật, thay vì tin rằng rủi ro đã biến mất.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/fbi-warns-of-unc6040-and-unc6395.html
UNC6395 và vụ tấn công qua Salesloft Drift
Theo FBI, UNC6395 đã triển khai một chiến dịch tấn công quy mô lớn vào tháng 8/2025, khai thác mã thông báo OAuth bị xâm phạm của ứng dụng Salesloft Drift để truy cập máy chủ Salesforce. Nguyên nhân được xác định là do tài khoản GitHub của Salesloft bị xâm phạm trong giai đoạn từ tháng 3 đến tháng 6/2025.
Salesloft cho biết họ đã cô lập hạ tầng Drift, tạm ngưng hoạt động chatbot AI, triển khai quy trình xác thực đa yếu tố mới và nâng cấp bảo mật GitHub. Công ty khuyến cáo khách hàng coi tất cả tích hợp Drift và dữ liệu liên quan đều có khả năng bị xâm phạm.
UNC6040, ShinyHunters và liên minh tội phạm mạng
UNC6040, được Google theo dõi từ tháng 10/2024, là một nhóm tin tặc có động cơ tài chính. Nhóm này sử dụng các chiến dịch lừa đảo để chiếm quyền truy cập ban đầu, sau đó khai thác Salesforce bằng phiên bản chỉnh sửa của ứng dụng Data Loader và tập lệnh Python nhằm đánh cắp khối lượng lớn dữ liệu. Một số vụ việc dẫn đến hoạt động tống tiền nhiều tháng sau khi dữ liệu bị lấy cắp.
Google cho rằng giai đoạn tống tiền có sự tham gia của một nhóm khác là UNC6240, vốn thường mạo danh ShinyHunters. Nhóm này còn có dấu hiệu chuẩn bị tung ra trang web rò rỉ dữ liệu (DLS) để tăng áp lực với nạn nhân.
Tháng 9/2025, ShinyHunters được cho là đã hợp tác với Scattered Spider và LAPSUS$ nhằm củng cố hoạt động tội phạm. Tuy nhiên, ngày 12/9/2025, liên minh này bất ngờ tuyên bố “giải nghệ” trên kênh Telegram với tên gọi "scattered LAPSUS$ hunters 4.0".
Các chuyên gia an ninh mạng cảnh báo rằng tuyên bố giải tán thường không đồng nghĩa với việc mối đe dọa chấm dứt. Nhóm có thể đổi tên, tách nhỏ, tái tổ chức hoặc tiếp tục khai thác dữ liệu đã đánh cắp. Do đó, các tổ chức cần duy trì cảnh giác và chủ động bảo mật, thay vì tin rằng rủi ro đã biến mất.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/fbi-warns-of-unc6040-and-unc6395.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview