Google Tehdit İstihbarat Grubu (GTIG), sürüklenme entegrasyonu yoluyla kurumsal Salesforce örneklerini hedefleyen geniş bir veri hırsızlığı operasyonu hakkında bir danışma yayınladı.
8 Ağustos 2025 gibi erken başlayarak, UNC6395, hesaplar, fırsatlar, kullanıcılar ve durumlar da dahil olmak üzere, önemli Salesforce nesnelerinden kayıtları dışa aktarmak için büyük ölçekli SOQL sorguları yürütmek için Salesloft Drift uygulamasıyla ilişkili geçerli erişim ve yenileme belirteçlerinden yararlandı.
Pessfiltrasyon üzerine, tehdit oyuncusu, çalınan verilerle AWS Access Anahtarları (AKIA), şifreler ve kar tanesi jetonları gibi hassas materyaller için yerinde aramalar gerçekleştirdi.
UNC6395, algılamayı engellemek için sorgu işlerini silmesine rağmen, Salesforce olay günlükleri sağlam kaldı ve kuruluşların etkinliği izlemesini sağladı.
SalesLoft, yalnızca Salesforce ile Drift ile entegre olan müşterilerin etkilendiğini ve bu entegrasyon olmadan Google Cloud müşterilerinin bilinen bir pozlama ile karşı karşıya olduğunu açıkladı.
Ancak, Drift kullanan herhangi bir kuruluş, Google Cloud Platform Hizmet Hesap Anahtarları ve yakalanmış olabilecek diğer sırlar için Salesforce nesnelerini doğrulamalıdır.
Tehdit oyuncusu taktikleri ve sorguları
UNC6395, gizliliği korurken sorgu denetim parkurlarını silerek operasyonel güvenlik bilincini gösterdi. GTIG, ayrıntılı ihracatta delinmeden önce aşağıda gösterildiği gibi rutin olarak SOQL sayısını çalıştıran aktörün gözlemledi:
| Soql sorgusu | Amaç |
| Hesaptan sayımı () seçin; | Toplam hesap kayıtlarını ölçer |
| Fırsattan Kont () seçin; | Toplam Fırsat Kayıtlarını Ölçüyor |
| Kullanıcıdan sayım () seçin; | Toplam aktif kullanıcıları ölçer |
| Case’den sayımı () seçin; | Toplam vaka kayıtlarını ölçer |
| 20 kayıt ile ayrıntılı kullanıcı ihracatı | Hasat Kullanıcı Meta Verileri |
| Vaka İhracatı 10.000 kayıt ile sınırlı | Analiz için hasat vaka kayıtları |
İlk önce nesne boyutlarını numaralandırarak, aktör yüksek değerli hedefler belirledi ve daha sonra gizli kurtarmayı en üst düzeye çıkarmak için en son aktif kullanıcıları ve ayrıntılı vaka alanlarını almak gibi hedeflenen sorguları yürüttü.
Koordinasyon ve iyileştirme adımları
20 Ağustos 2025’te Salesloft ve Salesforce tüm aktif sürüklenme belirteçlerini iptal etti ve uygulamayı AppExchange bekleyen soruşturmadan kaldırdı. Bu olay Salesforce’un temel platformundaki bir kusurdan kaynaklanmadı.
GTIG, Salesloft ve Salesforce, etkilenen kuruluşları bilgilendirdi. Etkilenen müşteriler Salesforce verilerini tehlikeye atmalı ve hemen ele almalıdır:
- Kimlik bilgilerini döndürün ve iptal edin
Açıkta kalan API tuşlarını iptal edin, tüm AWS ve kar tanesi kimlik bilgilerini döndürün ve kullanıcı şifrelerini sıfırlayın. - Sırları araştırın ve tarayın
- Olağandışı sürüklenmeye bağlı uygulama etkinliği için olay izleme günlüklerini inceleyin.
- Tor Exit Node IPS ve özel kullanıcı ajanı dizeleri dahil IOC’leri arayın.
- Salesforce nesnelerini “AKIA”, “SnowflakeComputing.com”, “Parola” gibi anahtar kelimeler için tarayın ve sert kodlanmış sırları algılamak için Trufflehog gibi araçları kullanın.
- Harden Bağlı Uygulama Kontrolleri
- Drift bağlantılı uygulamasına en az müstehcenlik kapsamları uygulayın.
- IP kısıtlamalarını uygulayın ve giriş IP aralıklarını tanımlayın.
- Oturum zaman aşımı ayarları aracılığıyla oturum sürelerini sınırlayın.
- Geniş profillerden “API etkinleştirilmiş” izinleri kaldırın ve yalnızca yetkili kullanıcılara izin setleri aracılığıyla atayın.
Salesloft Trust Center ve Salesforce’un danışmanlık sayfalarında ek rehberlik ve güncellemeler mevcuttur. Sürekli izleme ve hızlı kimlik bilgisi rotasyonu, UNC6395’in devam eden riski azaltmak için kritik öneme sahiptir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!