Federal Soruşturma Bürosu (FBI), Salesforce ortamlarından gasp amaçlı verileri çalmak için aktif olarak tehlikeye atan iki siber suçlu grubun (UNC6040 ve UNC6395’in faaliyetlerini detaylandıran bir flaş uyarı yayınladı.
FBI tarafından 12 Eylül 2025’te yayınlanan danışma, uzlaşma göstergeleri (IOCS) ve kuruluşların hedeflerine ulaşmak için farklı taktiklerden yararlanan bu devam eden kampanyalara karşı korunmasına yardımcı olmak için savunma önlemleri sunmaktadır.
İşte Salesforce/Salesloft Drift Veri İhlalleri – Ayrıntılı Vaka Çalışması’ndan derslerin ayrıntılı kapsamı.
UNC6040’ın Sosyal Mühendislik Kampanyası
En azından Ekim 2024’ten bu yana, UNC6040 olarak izlenen grup, ilk erişimi elde etmek için sosyal mühendisliği, özellikle sesli kimlik avı (Vishing) kullanıyor.
Tehdit aktörleri, bir kuruluşun yardım masasını çağırıyor, destek personelini destekliyor ve sahte bir teknik sorunu çözmeye çalışıyor. Bu çağrılar sırasında, çalışanları kimlik bilgilerini paylaşmaya ya da saldırganların şirketin Salesforce örneğine erişimine izin vermeye ikna ederler.
Anahtar bir taktik, çalışanları Salesforce portalında kötü niyetli bir “bağlı uygulamaya” yetkilendirme konusunda kandırmayı içerir. Bu uygulama genellikle meşru Salesforce veri yükleyici aracının değiştirilmiş bir sürümüdür.
Bir kullanıcıyı uygulamayı onaylamak için yeterli ayrıcalıklara ikna ederek UNC6040, Salesforce tarafından verilen OAuth jetonları aracılığıyla sürekli erişim kazanır.
Bu yöntem, etkinliğin güvenilir, entegre bir uygulamadan kaynaklandığı görüldüğü için çok faktörlü kimlik doğrulama (MFA) ve şifre sıfırlama gibi güvenlik kontrollerini atlayabilir.
Saldırganlar daha sonra büyük miktarda veri yaymak için API sorguları kullanırlar. Veri hırsızlığının ardından, bazı kurbanlar kötü şöhretli “Shinyhunters” grubundan gasp e -postaları aldı ve çalınan bilgilerin halka açık olmasını önlemek için ödeme talep etti.
UNC6395 Üçüncü Taraf Entegrasyonundan Kullanım
İkinci grup UNC6395, Salesforce örneklerini ihlal etmek için farklı bir yöntem kullandı. Ağustos 2025’te, bu aktörler Salesforce ile entegre olan AI destekli bir sohbet botu olan Salesloft Drift uygulamasıyla ilişkili tehlikeye atılmış OAuth jetonlarından yararlandı.
Bu tehlikeye atılan üçüncü taraf jetonları kullanarak, grup kurbanın Salesforce ortamından verilere erişebildi ve sunarak üçüncü taraf uygulama entegrasyonlarının sağladığı güvenlik risklerini vurguladı.
Bu kampanyaya yanıt olarak, Salesloft ve Salesforce, 20 Ağustos 2025’te Drift uygulaması için tüm aktif erişim ve yenileme jetonlarını iptal etmek için işbirliği yaptı.
FBI, ağ savunucularının algılanmasına ve engellenmesine yardımcı olmak için IP adresleri, kötü amaçlı URL’ler ve hem UNC6040 hem de UNC6395 ile ilişkili kullanıcı ajanı dizeleri dahil olmak üzere kapsamlı bir IOC listesi yayınladı. Ajans, kuruluşların uzlaşma riskini azaltmak için birkaç adım atmasını şiddetle tavsiye ediyor.
Tabii ki, IP adresleri istendiği gibi biçimlendirilmiş olan uzlaşma göstergeleri olan tablo.
UNC6040 Uzlaşma Göstergeleri
| IOC Türü | Gösterge |
|---|---|
| IP adresi | 13.67.175[.]79 |
| IP adresi | 20.190.130[.]40 |
| IP adresi | 20.190.151[.]38 |
| IP adresi | 20.190.157[.]160 |
| IP adresi | 20.190.157[.]98 |
| IP adresi | 23.145.40[.]165 |
| IP adresi | 23.145.40[.]167 |
| IP adresi | 23.145.40[.]99 |
| IP adresi | 23.162.8[.]66 |
| IP adresi | 23.234.69[.]167 |
| IP adresi | 23.94.126[.]63 |
| IP adresi | 31.58.169[.]85 |
| IP adresi | 31.58.169[.]92 |
| IP adresi | 31.58.169[.]96 |
| IP adresi | 34.86.51[.]128 |
| IP adresi | 35.186.181[.]1 |
| IP adresi | 37.19.200[.]132 |
| IP adresi | 37.19.200[.]141 |
| IP adresi | 37.19.200[.]154 |
| IP adresi | 37.19.200[.]167 |
| IP adresi | 37.19.221[.]179 |
| IP adresi | 38.22.104[.]226 |
| IP adresi | 45.83.220[.]206 |
| IP adresi | 51.89.240[.]10 |
| IP adresi | 64.95.11[.]225 |
| IP adresi | 64.95.84[.]159 |
| IP adresi | 66.63.167[.]122 |
| IP adresi | 67.217.228[.]216 |
| IP adresi | 68.235.43[.]202 |
| IP adresi | 68.235.46[.]22 |
| IP adresi | 68.235.46[.]202 |
| IP adresi | 68.235.46[.]151 |
| IP adresi | 68.235.46[.]208 |
| IP adresi | 68.63.167[.]122 |
| IP adresi | 69.246.124[.]204 |
| IP adresi | 72.5.42[.]72 |
| IP adresi | 79.127.217[.]44 |
| IP adresi | 83.147.52[.]41 |
| IP adresi | 87.120.112[.]134 |
| IP adresi | 94.156.167[.]237 |
| IP adresi | 96.44.189[.]109 |
| IP adresi | 96.44.191[.]141 |
| IP adresi | 96.44.191[.]157 |
| IP adresi | 104.223.118[.]62 |
| IP adresi | 104.193.135[.]221 |
| IP adresi | 141.98.252[.]189 |
| IP adresi | 146.70.165[.]47 |
| IP adresi | 146.70.168[.]239 |
| IP adresi | 146.70.173[.]60 |
| IP adresi | 146.70.185[.]47 |
| IP adresi | 146.70.189[.]47 |
| IP adresi | 146.70.189[.]111 |
| IP adresi | 146.70.198[.]112 |
| IP adresi | 146.70.211[.]55 |
| IP adresi | 146.70.211[.]119 |
| IP adresi | 146.70.211[.]183 |
| IP adresi | 147.161.173[.]90 |
| IP adresi | 149.22.81[.]201 |
| IP adresi | 151.242.41[.]182 |
| IP adresi | 151.242.58[.]76 |
| IP adresi | 163.5.149[.]152 |
| IP adresi | 185.141.119[.]136 |
| IP adresi | 185.141.119[.]138 |
| IP adresi | 185.141.119[.]151 |
| IP adresi | 185.141.119[.]166 |
| IP adresi | 185.141.119[.]168 |
| IP adresi | 185.141.119[.]181 |
| IP adresi | 185.141.119[.]184 |
| IP adresi | 185.141.119[.]185 |
| IP adresi | 185.209.199[.]56 |
| IP adresi | 191.96.207[.]201 |
| IP adresi | 192.198.82[.]235 |
| IP adresi | 195.54.130[.]100 |
| IP adresi | 196.251.83[.]162 |
| IP adresi | 198.44.129[.]56 |
| IP adresi | 198.44.129[.]88 |
| IP adresi | 198.244.224[.]200 |
| IP adresi | 198.54.130[.]100 |
| IP adresi | 198.54.130[.]108 |
| IP adresi | 198.54.133[.]123 |
| IP adresi | 205.234.181[.]14 |
| IP adresi | 206.217.206[.]14 |
| IP adresi | 206.217.206[.]25 |
| IP adresi | 206.217.206[.]26 |
| IP adresi | 206.217.206[.]64 |
| IP adresi | 206.217.206[.]84 |
| IP adresi | 206.217.206[.]104 |
| IP adresi | 206.217.206[.]124 |
| IP adresi | 208.131.130[.]53 |
| IP adresi | 208.131.130[.]71 |
| IP adresi | 208.131.130[.]91 |
| Url | Giriş yapmak[.]Salesforce[.]com/setup/connect? user_code = akyf7v5n |
| Url | Login.salesforce.com/setup/connect?user_code=8KCQGGTVU |
| Url | https: // yardım[victim][.]com |
| Url | https: // giriş[.]Salesforce[.]com/setup/connect |
| Url | http: //64.95.11[.]112/merhaba.php |
| Url | 91.199.42.164/login |
UNC6395 uzlaşma göstergeleri
| IOC Türü | Gösterge |
|---|---|
| IP adresi | 208.68.36[.]90 |
| IP adresi | 44.215.108[.]109 |
| IP adresi | 154.41.95[.]2 |
| IP adresi | 176.65.149[.]100 |
| IP adresi | 179.43.159[.]198 |
| IP adresi | 185.130.47[.]58 |
| IP adresi | 185.207.107[.]130 |
| IP adresi | 185.220.101[.]33 |
| IP adresi | 185.220.101[.]133 |
| IP adresi | 185.220.101[.]143 |
| IP adresi | 185.220.101[.]164 |
| IP adresi | 185.220.101[.]167 |
| IP adresi | 185.220.101[.]169 |
| IP adresi | 185.220.101[.]180 |
| IP adresi | 185.220.101[.]185 |
| IP adresi | 192.42.116[.]20 |
| IP adresi | 192.42.116[.]179 |
| IP adresi | 194.15.36[.]117 |
| IP adresi | 195.47.238[.]83 |
| IP adresi | 195.47.238[.]178 |
| Kullanıcı ajanı | Salesforce-Multi-org-fetcher/1.0 |
| Kullanıcı ajanı | Salesforce-Cli/1.0 |
| Kullanıcı ajanı | Python-Rquests/2.32.4 |
| Kullanıcı ajanı | Python/3.11 aiohttp/3.12.15 |
Temel öneriler, kimlik avı ve vishing girişimlerini tanımak ve raporlamak için çalışan çalışanları, özellikle çağrı merkezi personelini içerir.
FBI ayrıca, olası tüm hizmetlerde kimliğe dayanıklı MFA’nın uygulanmasını, kullanıcı hesaplarına en az ayrıcalık ilkesini uygulamayı ve katı IP tabanlı erişim kısıtlamalarının uygulanmasını önermektedir.
Ayrıca, kuruluşlar veri açığa çıkmasını gösteren anormal davranışlar için ağ günlüklerini ve API kullanımını sürekli olarak izlemeli ve yazılım platformlarına bağlı tüm üçüncü taraf uygulama entegrasyonlarını düzenli olarak gözden geçirmeli, API anahtarlarını ve kimlik bilgilerini sık sık gözden geçirmelidir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.