404 Not Found
Writer
Một chiến dịch tấn công mạng diện rộng vừa được phát hiện đã khai thác nền tảng tự động hóa bán hàng Salesloft, qua đó đánh cắp token OAuth và refresh token liên quan đến Drift AI chat agent. Vụ việc dẫn đến nguy cơ rò rỉ dữ liệu của hàng trăm doanh nghiệp đang sử dụng Salesforce.
Theo Google Threat Intelligence Group (GTIG) và Mandiant, nhóm tin tặc đứng sau sự cố được theo dõi với mã định danh UNC6395. GTIG cho biết có hơn 700 tổ chức có thể bị ảnh hưởng. Từ ngày 8/8 đến 18/8/2025, nhóm này đã lợi dụng token bị xâm phạm để truy cập vào hệ thống Salesforce của nhiều công ty và xuất dữ liệu với khối lượng lớn.
Dữ liệu bị truy vấn bao gồm nhiều thông tin nhạy cảm như AWS access keys, mật khẩu, token liên quan đến Snowflake, cùng dữ liệu doanh nghiệp như Cases, Accounts, Users và Opportunities. Đáng chú ý, các tin tặc còn xóa nhật ký truy vấn nhằm che giấu dấu vết, thể hiện sự kỷ luật và tinh vi trong cách thức hoạt động.
Ngày 20/8, Salesloft xác nhận sự cố và cho biết đã chủ động ngắt kết nối giữa Drift và Salesforce, đồng thời khuyến nghị quản trị viên cần xác thực lại kết nối để kích hoạt lại dịch vụ. Salesforce cũng cho biết “chỉ một số ít khách hàng” bị ảnh hưởng, song đã ngay lập tức thu hồi các token liên quan, gỡ Drift khỏi AppExchange và gửi cảnh báo đến các bên bị tác động.
Giới chuyên gia đánh giá chiến dịch này không phải là một sự cố đơn lẻ mà mang tính có hệ thống. UNC6395 đã chọn lọc mục tiêu là các công ty công nghệ và an ninh mạng, cho thấy khả năng đây mới chỉ là “bước mở màn” của một cuộc tấn công chuỗi cung ứng lớn hơn. Tin tặc có thể tận dụng vị trí của các nhà cung cấp dịch vụ để thâm nhập sâu hơn vào khách hàng và đối tác phía hạ nguồn.
Salesloft cho biết đã phối hợp cùng Mandiant và Coalition để điều tra và xử lý sự cố. Công ty cũng khuyến nghị các khách hàng sử dụng Drift nên cập nhật API key, thu hồi khóa cũ và khởi tạo lại để đảm bảo an toàn.
Vụ việc này một lần nữa cho thấy rủi ro ngày càng lớn khi các doanh nghiệp phụ thuộc nhiều vào các ứng dụng SaaS và tích hợp bên thứ ba. Chỉ cần một mắt xích bị tổn thương, toàn bộ chuỗi kết nối có thể trở thành mục tiêu cho các chiến dịch tấn công quy mô lớn.
Theo Google Threat Intelligence Group (GTIG) và Mandiant, nhóm tin tặc đứng sau sự cố được theo dõi với mã định danh UNC6395. GTIG cho biết có hơn 700 tổ chức có thể bị ảnh hưởng. Từ ngày 8/8 đến 18/8/2025, nhóm này đã lợi dụng token bị xâm phạm để truy cập vào hệ thống Salesforce của nhiều công ty và xuất dữ liệu với khối lượng lớn.
Dữ liệu bị truy vấn bao gồm nhiều thông tin nhạy cảm như AWS access keys, mật khẩu, token liên quan đến Snowflake, cùng dữ liệu doanh nghiệp như Cases, Accounts, Users và Opportunities. Đáng chú ý, các tin tặc còn xóa nhật ký truy vấn nhằm che giấu dấu vết, thể hiện sự kỷ luật và tinh vi trong cách thức hoạt động.
Ngày 20/8, Salesloft xác nhận sự cố và cho biết đã chủ động ngắt kết nối giữa Drift và Salesforce, đồng thời khuyến nghị quản trị viên cần xác thực lại kết nối để kích hoạt lại dịch vụ. Salesforce cũng cho biết “chỉ một số ít khách hàng” bị ảnh hưởng, song đã ngay lập tức thu hồi các token liên quan, gỡ Drift khỏi AppExchange và gửi cảnh báo đến các bên bị tác động.
Giới chuyên gia đánh giá chiến dịch này không phải là một sự cố đơn lẻ mà mang tính có hệ thống. UNC6395 đã chọn lọc mục tiêu là các công ty công nghệ và an ninh mạng, cho thấy khả năng đây mới chỉ là “bước mở màn” của một cuộc tấn công chuỗi cung ứng lớn hơn. Tin tặc có thể tận dụng vị trí của các nhà cung cấp dịch vụ để thâm nhập sâu hơn vào khách hàng và đối tác phía hạ nguồn.
Salesloft cho biết đã phối hợp cùng Mandiant và Coalition để điều tra và xử lý sự cố. Công ty cũng khuyến nghị các khách hàng sử dụng Drift nên cập nhật API key, thu hồi khóa cũ và khởi tạo lại để đảm bảo an toàn.
Vụ việc này một lần nữa cho thấy rủi ro ngày càng lớn khi các doanh nghiệp phụ thuộc nhiều vào các ứng dụng SaaS và tích hợp bên thứ ba. Chỉ cần một mắt xích bị tổn thương, toàn bộ chuỗi kết nối có thể trở thành mục tiêu cho các chiến dịch tấn công quy mô lớn.
Theo The Hacker News
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview