Federal Soruşturma Bürosu (FBI), Salesforce Müşteri ortamlarını ve sifon duyarlı verileri ihlal etmek için iki siber suç grubu (UNC6040 ve UNC6395) tarafından kullanılan uzlaşma göstergelerini (IOCS) ve taktikleri açıklayan ayrıntılı bir flaş danışmanlığı yayınladı.
İç Güvenlik Siber Güvenlik ve Altyapı Güvenlik Ajansı (DHS/CISA) Dairesi ile koordine edilen bülten, bu sofistike kampanyaları tespit etmek, araştırmak ve engellemek için güvenlik ekiplerini ve sistem yöneticilerini eyleme geçirilebilir istihbaratla donatmayı amaçlamaktadır.
Ekim 2024’ten bu yana, UNC6040, Salesforce hesaplarına erişim sağlanması için çağrı merkezi personeline Sosyal Mühendislik Voice Kimlik Avı’na (Vishing) güvendi.
Temsilcileri destekledikçe poz veren saldırganlar, iddia edilen bir hizmet biletini kapatarak kurbanlara rehberlik eder ve kimlik bilgilerini veya çok faktörlü kimlik doğrulama (MFA) kodlarını paylaşırlar.
Birçok durumda, tehdit aktörleri kurbanları Salesforce’un Bağlı Uygulama Kurulum sayfasına yönlendirerek onları sahte bir veri yükleyici uygulamasına izin veriyor.
Onaylandıktan sonra, kötü niyetli bağlı uygulama, parola sıfırlamaları, giriş uyarıları ve MFA zorlukları gibi geleneksel savunmaları atlayarak Salesforce’un sistemleri için meşru görünen oauth jetonları çıkarır.
Yetkisiz entegrasyon daha sonra, acil şüphe yaratmadan API sorguları aracılığıyla toplu veri eksfiltrasyonunu sağlar.
UNC6395, aksine, Ağustos 2025’te Salesloft Drift Chatbot uygulamasıyla ilişkili kaldıraçlı tehlikeye atılmış OAuth jetonları.
Geçerli jetonlar elde ettikten sonra, UNC6395 operatörleri doğrudan güvenilir Salesloft entegrasyonu yoluyla müşteri verilerine erişti ve ekledi.
Salesforce ve Salesloft, 20 Ağustos’ta sürüklenme uygulaması için tüm aktif erişim ve yenileme jetonlarını geçersiz kıldı ve saldırganların kalıcı erişimini etkili bir şekilde kesti.
IOC Ayrıntıları
FBI’ın danışmanlığı, UNC6040 ve UNC6395 etkinliklerine bağlı IP adresleri, URL’leri ve kullanıcı ajanı dizelerinin kapsamlı listelerini yayınlar.
UNC6040’ın bilinen kötü niyetli altyapısı, 13.67.175.79, 20.190.130.40, 23.145.40.165 ve 146.70.211.119 gibi aralıkları kapsayan yüzden fazla IP adresi içerir.
Varning lures ve pessfiltration’da kullanılan temel URL’ler Login.SalesForce içerir[.]com/setup/çeşitli user_code parametreleri ve yardım gibi tuzak alanları ile bağlantı[victim][.]Com ve PHP komut dosyaları saldırgan kontrollü sunucularda barındırıldı.
UNC6395’in ayak izi, 208.68.36.90, 154.41.95.2 ve 185.220.101.180 dahil olmak üzere yaklaşık yirmi IP adresini ve Salesforce-Multi -g -g-fetcher/1.0, Salesforce-Cli/1.0 ve Python-agent dizelerini ve Python-agent dizelerini ve Python-Py/1.0 ve Python-Agent dizelerini ve Python’u ve Python’u ve Python’u ve Python’u ve Python’u ve 2.4.
Bu eserler, savunucuların tespit kurallarını ayarlamalarını, kötü niyetli trafiği engellemelerini ve gizli girişleri ortaya çıkarmak için retrospektif günlük analizi yapmalarını sağlar.
Hafifletme
Bu OAuth tabanlı eksfiltrasyon kampanyalarına karşı esnekliği arttırmak için FBI, kuruluşların katmanlı bir savunma yaklaşımı benimsemelerini önermektedir.
Eğitim çağrısı merkezi ve destek personeli sosyal mühendislik ploylarını tanımak için çok önemlidir, çünkü kimlik avına dayanıklı MFA’yı harici olarak karşı karşıya olan tüm hizmetlerde zorlamaktadır.
Sıkı kimlik doğrulama, yetkilendirme ve muhasebe (AAA) kontrollerinin uygulanması, üçüncü taraf entegrasyonlarını yalnızca doğrulanmış bir işletme ihtiyacı olanlarla sınırlandırarak en az ayrıcalık ilkesinin uygulanmasına yardımcı olur.
Kuruluşlar ayrıca kritik platformlarda IP tabanlı erişim kısıtlamalarını uygulamalı ve toplu veri çıkarmayı gösteren anormal sorgu kalıpları için API kullanımını sürekli olarak izlemelidir.
Salesforce örneklerine bağlı üçüncü taraf uygulamaların rutin denetimleri bayat veya yetkisiz entegrasyonları ortaya çıkarabilir; API anahtarlarını döndüren ve kullanılmayan OAuth jetonlarının iptal edilmesi saldırı yüzeyini daha da azaltır.
Ağ savunucuları, bilinen kötü niyetli IOC’lere benzeyen bağlantılar için günlükleri incelemeleri, olası uzlaşma zincirlerini haritalamak için farklı olayları ilişkilendirmeleri ve listelenen IP adreslerine ve kullanıcı ajanı tanımlayıcılarına ayarlanmış saldırı izni algılama sistemlerinden yararlanmaları istenir.
FBI, bu IOC’leri paylaşarak ve saldırı metodolojilerini paylaşarak proaktif savunma önlemlerini ve topluluk işbirliğini yönlendirmeyi amaçlamaktadır.
Şüpheli faaliyetleri tespit eden veya ek zekaya sahip olan kuruluşların, yerel FBI siber kadrolarıyla iletişim kurmaları veya FBI’ın İnternet Suç Şikayet Merkezi aracılığıyla olaylarla rapor vermeleri teşvik edilir.
Tehdit verilerinin hızlı bir şekilde paylaşılması, gelecekteki müdahaleleri önlemeye ve bulut ortamlarında hassas müşteri bilgilerini korumaya yardımcı olacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.