Scattered Lapsus$ Hunters olarak bilinen kötü şöhretli siber suç topluluğu, kuruluşları çalınan Salesforce verilerinin ifşa edilmesiyle tehdit etmek için özel bir sızıntı sitesi başlatarak gasp kampanyalarını artırdı.
ShinyHunters, Scattered Spider ve Lapsus$ gibi köklü tehdit aktörlerinden oluşan bu süper grup, dünyanın en yaygın kullanılan müşteri ilişkileri yönetimi platformlarından birini hedef alan hizmet olarak fidye yazılımı operasyonlarında gelişmiş bir evrimi temsil ediyor.
Grubun ortaya çıkışı, çok sayıda yerleşik tehdit aktörünün teknik yeteneklerini ve operasyonel bilgilerini birleştiren siber suç uzmanlığının tehlikeli bir şekilde konsolidasyonuna işaret ediyor.
Koordineli yaklaşımları, modern siber suç örgütlerinin, önemli fidye ödemeleri sağlayabilecek yüksek değerli hedeflere odaklanarak nasıl giderek daha organize ve uzmanlaştıklarını gösteriyor.
Grubun özellikle Salesforce örneklerini hedefleme kararı, platformun kritik iş değerine ve içerdiği hassas müşteri verilerine ilişkin anlayışlarını yansıtıyor.
TOR Onion ağı üzerinden çalışan şantaj yazılımı portal listeleri, Salesforce müşterilerinin güvenliğini tehlikeye atıyor ve grubun saldırıları sırasında iddia edilen ne kadar veri sızdırdığına ilişkin iddiaları da beraberinde getiriyor.
UpGuard analistleri, web sitesinin, ödeme talepleri karşılanmadığı takdirde etkilenen kuruluşları kamuya açık verilerle tehdit ettiğini ve ilk son tarihin 10 Ekim 2025 olarak belirlendiğini belirtti.
Sitenin varlığı, çalınan bilgilerin sistematik gasp operasyonları için bir koza dönüştürülmesiyle veri hırsızlığının ticarileştirilmesinde sorunlu bir dönüm noktasına işaret ediyor.
Saldırı kampanyası, teknik kusurlardan ziyade insani zayıflıklardan yararlanan sosyal mühendislik saldırılarıyla başlayan, birden fazla vektör üzerinde gelişmiş teknik uygulama sergiliyor.
Tehdit aktörleri, yetkili kullanıcıları kötü amaçlı Salesforce entegrasyonları yüklemeye yönlendirmek için BT destek personelinin kimliğine bürünerek, saldırganlara hedef sistemlere API düzeyinde erişim sağlayarak, vishing teknikleri kullandı.
OAuth Token Kullanımı ve Kalıcılık Mekanizmaları
Grubun en karmaşık saldırı vektörü, Salesloft’un GitHub depolarının güvenliğini aşmayı ve bağlı Salesforce ortamlarına kalıcı erişimi sürdürmek için geçerli OAuth entegrasyon belirteçlerinden yararlanmayı içeriyordu.
Saldırganlar, şüpheli sosyal mühendislik yoluyla Salesloft’un kurumsal GitHub hesabına ilk erişimi sağladıktan sonra düzenli bir şekilde depo içeriğini indirdiler, kuruluş içinde yetkisiz kullanıcı hesapları oluşturdular ve devam eden erişimi kolaylaştırmak için özel iş akışları oluşturdular.
Saldırının ilerleyişi, tehdit aktörlerinin ele geçirilen depolarda yerleşik AWS kimlik bilgilerini keşfettiği ve Salesloft Drift’in bulut altyapısına erişmelerine olanak tanıyan hesaplı bir yaklaşım izledi.
Bu ortamda, Salesloft Drift müşterilerine ait OAuth belirteçlerini başarılı bir şekilde belirleyip sızdırdılar ve meşru entegrasyon bilgilerini etkili bir şekilde yaygın veri hırsızlığına yönelik silahlara dönüştürdüler.
Bu teknik, saldırganların, güvenliği ihlal edilmiş tek bir entegrasyon sağlayıcısı aracılığıyla birden fazla kuruluş arasında yanal hareket elde etmek için modern SaaS platformlarının birbirine bağlı doğasından nasıl yararlanabileceğini gösteriyor.
Kalıcılık mekanizması büyük ölçüde meşru OAuth yetkilendirme çerçevesine dayanıyordu ve bu durum, yetkili API çağrıları olarak gizlenen kötü amaçlı etkinlikleri anında fark edemeyebilecek güvenlik ekipleri için algılamayı özellikle zorlaştırıyordu.
Saldırganlar, geçerli entegrasyon belirteçleri kullanarak, ilk giriş noktaları keşfedilip düzeltilse bile erişimi sürdürebildiler; bu da, kurumsal ortamlarda kapsamlı belirteç yönetimi ve izlemenin kritik önemini vurguluyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
