FBI, UNC6040 ve UNC6395 olarak izlenen iki tehdit kümesinin, veri çalmak ve kurbanları çalmak için organizasyonların Salesforce ortamlarından ödün verdiği konusunda bir flaş uyarısı yayınladı.
FBI’nın flaş danışmanlığını okurken, “Federal Soruşturma Bürosu (FBI), artan sayıda veri hırsızlığı ve gasp saldırısından sorumlu, siber suç grupları UNC6040 ve UNC6395 tarafından son kötü niyetli siber faaliyetlerle ilişkili uzlaşma göstergelerini (IOC’ler) yaymak için bu flaşı serbest bırakıyor.”
“Her iki grup da son zamanlarda farklı başlangıç erişim mekanizmaları aracılığıyla kuruluşların Salesforce platformlarını hedefleyen gözlemlenmiştir. FBI, farkındalığı en üst düzeye çıkarmak ve araştırma ve ağ savunması için alıcılar tarafından kullanılabilecek IOC’leri sağlamak için bu bilgileri yayınlamaktadır.”
UNC6040, Haziran ayında Google Tehdit İstihbaratı (Mantiant) tarafından ilk kez, 2024’ün sonlarından beri, tehdit aktörlerinin çalışanları kötü amaçlı Salesforce veri yükleyici OAuth uygulamalarını şirketlerinin Salesforce hesaplarına bağlamak için kandırmak için saldırıları kullandıkları konusunda uyardı.
Bazı durumlarda, tehdit aktörleri, “Bilet Portalım” adlı uygulamanın yeniden adlandırılmış sürümlerini kullanan kurumsal BT destek personelini taklit etti.
Tehdit aktörleri bağlandıktan sonra OAuth uygulamasını, daha sonra Shinyhunters gasp grubu tarafından gasp denemelerinde kullanılan kurumsal Salesforce verilerini toplu olarak ortaya çıkarmak için kullandı.
Bu erken veri hırsızlığı saldırılarında, Shinyhunters BleepingComputer’a, her ikisi de bir şirketin müşterileri hakkında veri depolamak için kullanılan “hesaplar” ve “kişiler” veritabanı tablolarını hedeflediklerini söyledi.
Bu veri hırsızlığı saldırıları, Google, Adidas, Qantas, Allianz Life, Cisco, Kering, Louis Vuitton, Dior ve Tiffany & Co. gibi büyük ve tanınmış şirketleri etkileyen yaygındı.
Daha sonra Ağustos ayında veri hırsızlığı saldırıları Salesforce müşterilerini de hedefledi, ancak bu sefer çalınan Salesloft Drift OAuth ve Müşterilerin Salesforce örneklerini ihlal etmek için yenileme jetonlarını kullandı.
Bu etkinlik UNC6395 olarak izlenir ve 8-18 Ağustos arasında meydana geldiğine inanılmaktadır ve tehdit aktörleri, şirketin Salesforce’da depolanan destek vaka bilgilerini hedeflemek için jetonları kullanan tehdit aktörleri.
Pessed edilmiş veriler daha sonra AWS anahtarları, şifreler ve kar tanesi jetonları dahil olmak üzere destek durumlarında paylaşılan sırları, kimlik bilgilerini ve kimlik doğrulama jetonlarını çıkarmak için analiz edildi. Bu kimlik bilgileri daha sonra ek veri hırsızlığı için diğer bulut ortamlarına döndürmek için kullanılabilir.
Salesloft, tüm sürüklenme jetonlarını iptal etmek için Salesforce ile birlikte çalıştı ve müşterilerin platforma yeniden taahhüt etmelerini gerektirdi.
Daha sonra, tehdit aktörlerinin, az sayıda Google çalışma alanı hesabı için e -postalara erişmek için kullanılan Drift e -posta jetonlarını çaldığı ortaya çıktı.
Mantiant tarafından yapılan bir soruşturma, Salesloft’un Github depolarının tehlikeye atıldığı Mart ayında ortaya çıkan saldırıyı belirledi ve saldırganların sonuçta sürüklenme oauth jetonlarını çalmasına izin verdi.
Önceki saldırılar gibi, bu yeni Salesloft Drift Veri hırsızlığı saldırıları, Cloudflare, Zscaler, Tenable, Cyberark, Elastik, Ötem, Proofpoint, Jfrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks ve daha fazlası dahil olmak üzere birçok şirketi etkiledi.
FBI bu kampanyaların arkasındaki grupları adlandırmasa da, BleepingComputer’a Shinyhunters gasp grubu tarafından kendilerinin ve diğer tehdit aktörlerinin “dağınık Lapsus $ avcılarının her iki faaliyet kümesinin arkasında oldukları söylendi.
Bu hacker grubu, Lapsus $, dağınık örümcek ve Shinyhunters gasp gruplarından kaynaklandığını ve örtüştüğünü iddia ediyor.
Perşembe günü, tehdit aktörleri Breachforums ile ilişkili bir alan aracılığıyla “kararmayı” ve telgraf üzerindeki operasyonları tartışmayı bırakmayı bıraktı.
Bununla birlikte, bir ayrılık gönderisinde, bilgisayar korsanları FBI’ın e-kontrol arka plan kontrol sistemine ve Google’ın kolluk kuvveti sistemine erişim sağladığını ve ekran görüntülerini kanıt olarak yayınladığını iddia etti.
Meşru olursa, bu erişim kolluk kuvvetlerini taklit etmelerine ve bireylerin hassas kayıtlarını çekmelerine izin verecektir.
BleepingComputer tarafından iletişime geçildiğinde, FBI yorum yapmayı reddetti ve Google e -postamıza yanıt vermedi.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.