FBI Cuma günü bir uyarı uyarısı yayınladı İki hacker grubunun Salesforce örneklerini gasp ve veri hırsızlığı için hedefliyor.
FBI’a göre, UNC6040 ve UNC6395 olarak tanımlanan gruplar, ilk erişim yöntemleri kullanılarak son saldırılarda tanımlanmıştır. Uyarı, güvenlik ekiplerinin hedeflenip hedeflenmediklerini belirlemelerine ve gelecekteki saldırıları önlemelerine yardımcı olabilecek uzlaşma göstergelerini ve ek rehberlik göstergelerini içerir.
UNC6040, hedeflenen kuruluşların Salesforce hesaplarına erişmek için ses kimlik avı kullandı. Alart’a göre, grup Ekim 2024’ten bu yana, müşteri desteği temsilcilerinin çalışan kimlik bilgilerini teslim etmesini sağlamak için sosyal mühendislik taktikleri kullandı.
Salesforce daha önce Bu sosyal mühendislik saldırıları hakkında uyarıldı Mart ayında ve araştırmacılar Google Tehdit İstihbarat Grubu Haziran ayında UNC6040 konusunda uyardı.
FBI, bazı kurbanların bilgisayar korsanlarından kendilerini Shinyhunters olarak adlandıran gasp talepleri aldığını söyledi. Talepler, ihlallerden birkaç gün ve birkaç ay sonra geldi.
UNC6395’ten gelen saldırılar Salesforce ile entegre olan AI tabanlı bir chatbot olan Salesloft Drift için tehlikeye atılmış OAuth jetonlarına güveniyordu. Bu saldırılardaki bilgisayar korsanları, mağdurların Salesforce örneklerinden ödün verdikten sonra veri çaldı.
Ağustos ayı sonlarına kadar, şirketler tüm aktif erişimi iptal etmiş ve jetonlarını yenilemiş ve FBI’a göre, bilgisayar korsanlarının Salesloft Drift aracılığıyla Salesforce platformlarına daha fazla erişmesini engellemişti.
Tedarik zinciri saldırıları potansiyel olarak yüzlerce kuruluşu ve çoklu Güvenlik şirketleri potansiyel ihlalleri açıkladı müşterilerinin.
Güvenlik araştırmacıları, siber güvenlik dalışına, Shinyhunters, dağınık örümcek ve Lapsus $ ile bağlar iddia eden bir tehdit grubunun hackleme sorumluluğunu üstlendiğini söyledi. Jaguar Land Rover Ve diğer yüksek profilli hedefler-son günlerde karanlık web sitelerini indirdi.
Şirket, bilgisayar korsanlarının sistemlerine nasıl eriştiğini kamuya açıklamamıştı, ancak daha önce tehdit iddialarını araştırdığını doğruladı.
Araştırmacılar, hareketin artan kolluk faaliyetleriyle ilgili olduğundan şüpheleniyor, ancak yetkililerin bilgisayar korsanlarından herhangi birini tutuklayıp tutmadıkları belirsizliğini koruyor. Uzmanlar ayrıca saldırganların faaliyetlerini tamamen durdurmak yerine farklı bir isim altında yeniden markalaşmaları muhtemel olduğunu söyledi.
JLR saldırısının FBI uyarısında açıklanan faaliyetle ilişkili olup olmadığı açık değildir. Büro yorum talebine cevap vermedi.