Para peneliti keamanan siber telah mengungkap kampanye rekayasa sosial yang canggih yang menargetkan bisnis yang menggunakan Salesforce, di mana penyerang menyamar sebagai staf dukungan TI untuk mendapatkan akses tidak sah ke data pelanggan yang sensitif. Serangan tersebut telah berhasil mengkompromikan setidaknya 20 organisasi di seluruh Amerika Serikat dan Eropa, menyoroti ancaman berkelanjutan dari serangan siber yang berpusat pada manusia di lingkungan perusahaan.
Statistik Serangan dan Dampak
| Metrik | Detail |
|---|---|
| Perusahaan yang Diretas | Setidaknya 20 organisasi |
| Cakupan Geografis | Amerika Serikat dan Eropa |
| Platform Target Utama | Sistem CRM Salesforce |
| Target Sekunder | Microsoft 365, Okta |
| Metode Serangan | Penipuan suara (vishing) |
| Timeline Pemerasan | Tuntutan dikeluarkan berbulan-bulan setelah peretasan awal |
Metode Serangan Voice Phishing
Para penjahat siber di balik kampanye ini menggunakan pendekatan yang menipu namun sederhana dan efektif yang dikenal sebagai vishing, atau voice phishing. Penyerang menghubungi karyawan secara langsung melalui telepon, menyamar sebagai personel dukungan TI yang sah dari organisasi mereka. Selama panggilan ini, pekerja yang tidak curiga dipandu untuk mengunjungi halaman pengaturan Salesforce palsu di mana mereka diperintahkan untuk mengunduh apa yang tampak seperti aplikasi Salesforce Data Loader yang sah.
Versi berbahaya dari alat ini, meskipun tampak identik dengan perangkat lunak asli, memberikan penyerang akses langsung ke database Salesforce organisasi. Setelah diinstal dan terhubung, para penjahat dapat segera melakukan kueri, mengakses, dan mengekspor sejumlah besar catatan pelanggan sensitif dan data bisnis. Dalam skenario alternatif, penyerang hanya meminta kredensial login dan kode autentikasi multi-faktor langsung dari karyawan selama panggilan telepon.
 |
|---|
| Keyboard laptop yang menyala melambangkan platform digital yang dieksploitasi penyerang selama serangan voice phishing |
Atribusi dan Koneksi Jaringan Kriminal
Threat Intelligence Group Google telah mengidentifikasi kelompok utama di balik serangan ini sebagai UNC6040, yang mengkhususkan diri dalam teknik rekayasa sosial berbasis suara. Namun, operasi tersebut tampaknya melibatkan beberapa entitas kriminal yang bekerja dalam koordinasi. Tuntutan pemerasan yang sebenarnya seringkali tidak muncul sampai berbulan-bulan setelah pencurian data awal, menunjukkan bahwa kelompok sekunder menangani fase monetisasi operasi.
Para penyerang ini telah menunjukkan koneksi ke ekosistem penjahat siber yang lebih luas yang dikenal sebagai The Com, sebuah jaringan peretas yang berafiliasi longgar yang terutama berbasis di Amerika Serikat, Inggris, dan Eropa Barat. Anggota kolektif ini, termasuk kelompok terkenal Scattered Spider, sebelumnya telah dikaitkan dengan serangan profil tinggi yang melibatkan penyamaran staf TI dan operasi SIM-swapping yang menargetkan pencurian mata uang kripto.
Kelompok Kriminal dan Atribusi
| Nama Kelompok | Peran | Karakteristik |
|---|---|---|
| UNC6040 | Penyerang utama | Spesialis dalam rekayasa sosial voice phishing |
| The Com | Jaringan yang lebih luas | Hacker yang berafiliasi longgar dari AS, Inggris, Eropa Barat |
| Scattered Spider | Kelompok terkait | Dikenal dengan serangan penyamaran sebagai staf IT |
| ShinyHunters | Partner yang diklaim | Diduga membantu dalam pemerasan korban |
Infrastruktur Teknis dan Metode Akses
Para penyerang menggunakan langkah-langkah keamanan operasional yang canggih untuk menyamarkan aktivitas mereka. Mereka menggunakan alamat IP Mullvad VPN untuk mengakses lingkungan Salesforce yang dikompromikan, membuat atribusi dan pelacakan lebih menantang bagi tim keamanan. Setelah akses awal ditetapkan, para penjahat menunjukkan kemampuan pergerakan lateral yang canggih, memperluas jangkauan mereka ke platform berbasis cloud lainnya termasuk sistem Microsoft 365 dan Okta.
Metodologi kelompok ini melampaui pencurian kredensial sederhana. Mereka secara sistematis mengumpulkan informasi autentikasi melalui beberapa saluran dan menggunakan kredensial ini untuk membangun akses persisten di berbagai layanan cloud dalam infrastruktur organisasi target.
Dampak Industri dan Konteks Pelanggaran Terbaru
Kampanye ini muncul dengan latar belakang meningkatnya serangan siber yang menargetkan pengecer besar dan korporasi. Bulan-bulan terakhir telah menyaksikan insiden keamanan signifikan yang mempengaruhi merek-merek terkemuka termasuk Marks & Spencer Group, yang menghadapi dampak 300 juta pound sterling terhadap laba operasi dari serangan ransomware pada bulan April. Organisasi lain yang terkena dampak termasuk Co-op Group, Adidas AG, Victoria's Secret & Co., Cartier, dan North Face, meskipun penelitian Google tidak secara definitif menghubungkan insiden-insiden ini dengan kampanye yang berfokus pada Salesforce.
Dampak Serangan Siber Korporat Terkini
| Perusahaan | Dampak | Waktu |
|---|---|---|
| Marks & Spencer Group | Kerugian laba operasional GBP 300 juta | April 2024 |
| Co-op Group | Serangan siber diungkapkan | Tidak lama setelah insiden M&S |
| Adidas AG | Insiden keamanan siber | Beberapa minggu terakhir |
| Victoria's Secret & Co. | Pelanggaran keamanan | Beberapa minggu terakhir |
| Cartier | Insiden keamanan siber | Beberapa minggu terakhir |
| North Face | Pelanggaran keamanan | Beberapa minggu terakhir |
Keamanan Platform dan Respons Vendor
Baik Google maupun Salesforce menekankan bahwa serangan ini mengeksploitasi kerentanan manusia daripada kelemahan teknis dalam platform itu sendiri. Perwakilan Salesforce mengkonfirmasi bahwa tidak ada kerentanan yang melekat dalam layanan mereka yang berkontribusi pada pelanggaran ini. Perusahaan sebelumnya telah memperingatkan pelanggan tentang taktik rekayasa sosial serupa dalam posting blog bulan Maret, memberikan panduan untuk perlindungan terhadap serangan semacam itu.
Insiden-insiden tersebut menggarisbawahi tantangan berkelanjutan dari rekayasa sosial dalam keamanan siber, di mana bahkan karyawan yang terlatih dengan baik dapat menjadi korban upaya penyamaran yang meyakinkan. Meskipun program pelatihan kesadaran keamanan yang ekstensif, penyerang terus menemukan kesuksesan melalui manipulasi manusia langsung daripada eksploitasi teknis.