Bilgisayar korsanları, bu ayın başlarında yaygın bir kampanyada Salesforce müşterilerinden kullanıcı kimlik bilgilerini çaldı. Google Tehdit İstihbarat Grubu’ndaki araştırmacılarhırsızlıkların takip saldırılarına yol açabileceği konusunda uyardı.
Google’ın UNC6395 olarak izlediği bir tehdit oyuncusu, Müşteri Katılım Satıcısı Salesloft’un Drift AI sohbet acentesiyle ilişkili tehlikeye atılmış OAuth jetonlarını kullanarak Salesforce örneklerini hedefledi.
Araştırmacılar, bilgisayar korsanlarının birincil hedefinin, çok sayıda Salesforce örnekinden büyük miktarda veri çaldıkları için kimlik bilgilerini toplamak olduğuna inanıyorlar.
Google’ın tehdit istihbarat grubu “potansiyel olarak etkilenen 700’den fazla kuruluşun farkında”, şirketin ana tehdit analisti Austin Larsen, Cybersecurity Dive’a yaptığı açıklamada. “Tehdit oyuncusu, hedeflenen her kuruluş için veri hırsızlığı sürecini otomatikleştirmek için bir Python aracı kullandı.”
Araştırmacılara göre, saldırılar Salesforce platformunda herhangi bir güvenlik açığı içermedi.
Verileri çaldıktan sonra, bilgisayar korsanları Amazon Web hizmetleri için erişim anahtarları ve şifreler ve Snowflake bulut platformu için erişim belirteçleri de dahil olmak üzere hassas kimlik bilgilerini aradı.
Araştırmacılar, saldırıların büyük ölçüde 8 Ağustos ve 18 Ağustos arasında meydana geldiğini söyledi. Google’a göre, 20 Ağustos’a kadar Salesloft, tüm aktif erişimi iptal etmek ve tüm aktif erişimi iptal etmek için Salesforce ile çalışmaya başlamıştı.
Saleslof 20 Ağustos’ta bir güvenlik uyarısı verdi Drift yöneticilerinden Salesforce bağlantılarını yeniden taahhüt etmelerini istemek.
Salesforce bir açıklamada dedi Salı günü güvenlik ekipleri, az sayıda müşterinin örneğine yetkisiz erişime yol açabilecek olağan faaliyet tespit ettiğini.
Şirket, Salesloft Drift’i AppExchange Marketplace’ten daha fazla soruşturmayı beklemeye devam etti.
Salesforce, “Etkilenen müşterileri iyileştirme ile bildirmek ve desteklemek de dahil olmak üzere soruşturmamızın bir parçası olarak Salesloft ile çalışmaya devam ediyoruz ve uygun şekilde güncellemeler sunuyoruz” dedi.
Bilgisayar korsanları, sorgu işlerini silerek operasyonel güvenlik bilinci gösterdi, ancak bu etkinlik olay günlüklerini doğrudan etkilemedi, bu nedenle şirket güvenlik personelini veri maruz kalma kanıtı için günlüklerini kontrol etmeye teşvik etti.
Salesforce veya Salesloft tarafından uzlaşmaya bildirilen kullanıcılar, nasıl iyileştirileceğine dair maniant rehberliği izlemelidir, Charles Carmakal, CTO Mandiant Consulting bir LinkedIn gönderisinde dedi.
Araştırmacılar, kuruluşların Salesforce örneğinde DRIFT kullanmaları durumunda Salesforce verilerinin tehlikeye atıldığını düşünmeleri gerektiğini söyledi. Etkilenen şirketler API anahtarlarını iptal etmeli, kimlik bilgilerini döndürmeli ve erişim kontrollerini sertleştirmelidir.