Finansal olarak motive olmuş bir hacker grubu, veri hırsızlığı ve takip eden gasp denemelerine katılmak için sesli kimlik avı kullanan bir kampanyada aylardır Salesforce örneklerini hedefliyor. Google Tehdit İstihbarat Grubuna göre.
Google’ın UNC6040 olarak izlediği bilgisayar korsanları, BT işçilerini taklit etti ve çok uluslu şirketlerin İngilizce konuşulan şubelerindeki çalışanları, daha sonra kuruluşların Salesforce verilerine erişmek için kullanılan hassas kimlik bilgilerini paylaşmaya yöneldi.
Sosyal Mühendislik Kampanyası’nın bir parçası olarak, bilgisayar korsanları, bu şirketlerdeki işçileri Salesforce bağlantılı uygulama kurulum sayfasını ziyaret etmeye kandırdılar, bu noktada saldırganlar müşterilerin Salesforce ortamlarından hassas bilgilere erişmek ve çalmak için Salesforce Veri Yükleyici uygulamasının yetkisiz, kötü niyetli bir sürümünü kullandılar.
Hemen veri hırsızlığının ötesinde, bilgisayar korsanları hedef ağlar içinde yanal olarak hareket edebildi, mağdurların diğer bulut hizmetlerine erişebildiler ve dahili kurumsal ağlara geçtiler.
Salesforce bu sosyal mühendislik saldırıları hakkında uyardı Bir Mart blog yazısında. Bir şirket sözcüsü, Siber Güvenlik Dalışına, saldırıların Salesforce platformundaki herhangi bir güvenlik açığı ile bağlantılı olduğuna dair hiçbir belirti olmadığını söyledi.
Sözcü e -posta yoluyla, “Voice kimlik avı gibi saldırılar, bireysel kullanıcıların siber güvenlik farkındalığı ve en iyi uygulamalarındaki boşluklardan yararlanmak için tasarlanmış sosyal mühendislik dolandırıcılıklarıdır” dedi.
Salesforce, müşterileri blogda çok faktörlü kimlik doğrulamasını etkinleştirmeye, erişim ayrıcalıklarını sınırlamaya ve giriş IP adreslerini kısıtlamaya çağırdı.
Salesforce örneklerinin neden özellikle hedeflendiği veya bilgisayar korsanlarının Salesforce aracı hakkında nasıl öğrendikleri hemen belli değildi. Google araştırmacıları bu aracı kullanan diğer tehdit aktörlerini gözlemlemediler.
Araştırmacılar, farklı saldırıların, saldırganların aracın kötü niyetli versiyonunu konuşlandırmada ne kadar yetkin olduklarında farklılıklar sergilediğini söyledi.
GTIG ana tehdit analisti Austin Larsen, “Yeterlilik farkı, Salesforce platformunun farklı becerileri ve bilgisi olan bir ekibi yansıtıyor” dedi. “Bu uzmanlığın içeriden bilgiden değil, önceki operasyonlar veya araştırma yoluyla edinilmesi muhtemeldir.”
Araştırmacılara göre, bazı durumda, bilgisayar korsanları ilk erişim kazandıktan aylar sonra gasp denemeleri başlattı. Bilgisayar korsanlarının dış bir ortakla çalıştığına dair kanıtlar var, çünkü bazı durumlarda hedeflerini zorlayan bilgisayar korsanları Shinyhunters Tehdit Grubuna bağlı olduğunu iddia ediyor.
Salesforce etkinliği, sosyal mühendislik saldırıları için bir araç olarak sesli kimlik avı kullanımında son zamanlarda bir artışı yansıtır.
Larsen, Salesforce bilgisayar korsanları ile “COM” olarak bilinen bir yeraltı kolektifi arasında geniş örtüşmeler olduğunu söyledi. Ancak Larsen, Salesforce saldırılarına katılan tehdit oyuncunun, dağınık örümcek aktivitesi alt kümesiyle örtüşen UNC3944 olarak izlenen tehdit grubundan farklı bir grup olduğu konusunda uyardı.