UNC6040 olarak bilinen finansal olarak motive olmuş bir hacker grubu, kurumsal ortamları ihlal etmek için basit ama etkili bir taktik kullanıyor: telefonu almak ve destek gibi davranmak, basitçe ses kimlik avı (vishing) olarak adlandırılıyor.
Google’ın Tehdit İstihbarat Grubu’ndan (GTIG) yeni bir rapora göre, bu aktör telefon tabanlı sosyal mühendislik saldırılarında iç teknoloji personelini taklit ediyor. Amaçları, çoğunlukla çokuluslu şirketlerin İngilizce konuşan şubelerinde çalışanları, özellikle kullanılan bir müşteri ilişkileri yönetimi (CRM) platformu olan Salesforce’a, özellikle Salesforce’a erişim sağlamak için kandırmaktır.
Aldatmaca nasıl çalışır
UNC6040 istismarlara veya güvenlik açıklarına güvenmez. Bunun yerine, insan hatasına güvenir. Saldırganlar çalışanları arar ve Salesforce içindeki bağlı bir uygulamayı onaylayarak onları yürürler. Ancak bu sadece herhangi bir uygulama değil, genellikle Salesforce’un meşru veri yükleyici aracının değiştirilmiş bir sürümüdür.
Bu erişimle, saldırganlar hedeflenen kuruluştan çok miktarda veri sorgulayabilir ve çıkarabilir. Bazı durumlarda, aracı aldatmaca BT destek temasıyla uyumlu bir isim olan “Bilet Portalım” olarak gizliyorlar.
Erişim verildikten sonra, UNC6040 verileri aşamalarda çeker. Bazen, test sorguları ve sınırlı parti boyutları kullanarak tespitten kaçınmak için küçük başlarlar. İlk prob fark edilmezse, işlemi ölçeklendirir ve büyük hacimli eksfiltrasyona başlarlar.
Fasar daha sonra gelir
İlginç bir şekilde, veri hırsızlığı her zaman acil taleplere yol açmaz. Birkaç olayda, kurbanların gasp mesajları almadan aylar geçti. Bu mesajlar sırasında, saldırganlar, tanınmış hack grubu Shinyhunters ile ilişkili olduğunu iddia etti, bu da kurbanların ödeme yapma baskısını artırmayı amaçlayan bir hareket.
Bu gecikmeli yaklaşım, UNC6040’ın çalınan verilerin para kazanmasında uzmanlaşmış diğer aktörlerle çalışabileceğini ima ediyor. İster erişim satıyor olsun veya takip saldırıları için verileri dağıtıyorlar, uzun duraklama, güvenlik ekipleri için olay tespiti ve yanıtı daha karmaşık hale getirir.
Birincil hedef Salesforce olsa da, grubun hırsları burada bitmiyor. Kimlik bilgileri kazandıktan sonra, UNC6040’ın kurumsal sistemler aracılığıyla yanal olarak hareket ederek, OKTA ve Microsoft 365 gibi platformları hedefleyen gözlemlenmiştir. Bu daha geniş erişim, ek değerli veriler toplamalarına, varlıklarını derinleştirmelerine ve gelecekteki gasp denemeleri için kaldıraç oluşturmalarına olanak tanır.

Bu saldırılara karşı korumak
GTIG, bu tür ihlallerin daha az olası hale getirilmesi için birkaç net adım atmayı önerir. İlk olarak, veri yükleyicisi gibi güçlü araçlara erişimi olan sınır, yalnızca gerçekten ihtiyaç duyan kullanıcıların izinleri olmalı ve bunların düzenli olarak gözden geçirilmesi gerekir. Hangi bağlı uygulamaların Salesforce kurulumunuza erişebileceğini yönetmek de önemlidir; Herhangi bir yeni uygulama resmi bir onay sürecinden geçmelidir.
Özellikle VPN’leri kullanan saldırganlardan yetkisiz erişimi önlemek için, giriş ve uygulama yetkileri güvenilir IP aralıklarıyla sınırlandırılmalıdır. İzleme başka bir önemli parça, Salesforce Shield gibi platformlar, büyük ölçekli veri ihracatına gerçek zamanlı olarak işaretleyebilir ve tepki verebilir. Çok faktörlü kimlik doğrulama (MFA) mükemmel olmasa da, özellikle kullanıcılar, etrafta dolaşmaya çalışan kimlik avı çağrıları gibi hileler tespit etmek için eğitildiğinde, hesapları korumada önemli bir rol oynar.