ABD Federal Soruşturma Bürosu (FBI), bir dizi veri hırsızlığı ve gasp saldırısı için UNC6040 ve UNC6395 olarak izlenen iki siber suçlu grupla ilişkili uzlaşma göstergelerini (IOCS) yayınlamak için bir flaş uyarı yayınladı.
FBI, “Her iki grup da son zamanlarda farklı başlangıç erişim mekanizmaları aracılığıyla kuruluşların Salesforce platformlarını hedefleyen gözlemlendi.” Dedi.
UNC6395, Salesloft Drift uygulaması için tehlikeye atılmış OAuth tokenlerini kullanarak Ağustos 2025’te Salesforce örneklerini hedefleyen yaygın bir veri hırsızlığı kampanyası ilişkilendirilen bir tehdit grubudur. Bu hafta yayınlanan bir güncellemede Salesloft, GitHub hesabının Mart – Haziran 2025’e kadar ihlali nedeniyle saldırının mümkün olduğunu söyledi.
İhlal sonucunda Salesloft, sürüklenme altyapısını izole etti ve yapay zeka (AI) Chatbot uygulamasını çevrimdışı aldı. Şirket ayrıca yeni çok faktörlü kimlik doğrulama süreçleri ve GitHub sertleştirme önlemleri uygulama sürecinde olduğunu söyledi.
Şirket, “Sürüklenme uygulama ortamının devam eden sertleşmesine odaklandık.” Dedi. “Bu işlem, sürüklenme uygulamasının belirli bölümlerini geçici olarak devre dışı bırakarak ve güvenlik yapılandırmalarını güçlendirmeyi, kimlik bilgilerini döndürür.” “Şu anda, tüm Drift müşterilerine her türlü sürüklenme entegrasyonlarını ve ilgili verileri potansiyel olarak tehlikeye atmalarını tavsiye ediyoruz.”
FBI’ın dikkat çektiği ikinci grup UNC6040. Ekim 2024’ten bu yana aktif olduğu değerlendirilen UNC6040, Google tarafından büyük ölçekli veri hırsızlığı ve gasp için Salesforce örneklerini almak için vishing kampanyalarıyla uğraşan finansal olarak motive olmuş bir tehdit kümesine atanan addır.
Bu saldırılar, Mağdurların Salesforce portallarını ihlal etmek ve değerli verileri yaymak için Salesforce’un veri yükleyici uygulamasının ve özel Python komut dosyalarının değiştirilmiş bir sürümünün kullanılmasını içeriyordu. En azından bir kısmı, UNC6040 müdahalelerini takiben gasp faaliyetlerini içeriyor ve ilk veri hırsızlığından aylar sonra gerçekleşti.
FBI, “UNC6040 tehdit aktörleri, kurbanları sosyal mühendislik çağrıları sırasında cep telefonlarından veya çalışma bilgisayarlarından ziyaret etmeye yönlendiren kimlik avı panellerini kullandı.” Dedi. “Erişim sağladıktan sonra, UNC6040 tehdit aktörleri daha sonra büyük miktarda veri yaymak için API sorguları kullandı.”
Gasar aşaması, Google tarafından UNC6240 olarak izlenen başka bir kategorize edilmemiş kümeye atfedildi, bu da sürekli olarak kurban kuruluşlarının çalışanlarına e -postalarda ve çağrılarda Shinyhunters grubu olduğunu iddia etti.
Google geçen ay, “Buna ek olarak, ‘Shinyhunters’ markasını kullanan tehdit aktörlerinin bir veri sızıntı sitesi (DLS) başlatarak gasp taktiklerini yükseltmeye hazırlanabileceğine inanıyoruz.” Diyerek şöyle devam etti: “Bu yeni taktikler muhtemelen UNC6040 Salesforce ile ilgili veri ihlalleriyle ilişkili olanlar da dahil olmak üzere mağdurlar üzerindeki baskıyı arttırmayı amaçlıyor.”
O zamandan beri, bir gelişme telaşı oldu, en önemlisi, suçlu çabalarını pekiştirmek ve birleştirmek için Shinyhunters, Dağınık Örümcek ve Lapsus $ ‘ın bir araya gelmesi. Daha sonra 12 Eylül 2025’te grup, telgraf kanallarında “Lapsus $ Hunters 4.0’ı dağıttıklarını” iddia etti.
Grup, “Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosox, Pertinax, Kurosh, Palyaço, Intelbroker, Dağınık Örümcek, Yukari ve diğerleri arasında, karanlık gitmeye karar verdik.” “Hedeflerimiz yerine getirildi, şimdi veda etme zamanı.”
Şu anda grubun botlarını asmaya neyin tetiklediğine neyin net değil, ancak hareketin düşük kalma ve daha fazla kolluk kuvvetinden kaçınma girişimi olması mümkündür.
Hacker News’e, “Yeni kurulan dağınık Lapsus $ Hunters 4.0 grubu, Fransız kolluk kuvvetlerinin siber suç grubuyla bağlantılı olarak başka bir yanlış kişiyi tutukladığını iddia ettikten sonra botları astığını ve ‘karanlık git’ dedi. “Bu bildirimler nadiren gerçek bir emekliliğe işaret ediyor.”
“Son zamanlarda tutuklamalar grubu düşük olmaya teşvik etmiş olabilir, ancak tarih bize bunun genellikle geçici olduğunu söyler. Bu kıymık, yeniden marka ve yeniden ortaya çıkma gibi gruplar gibi. Halka açık operasyonlar duraklatsa bile. Riskler devam edebilir: çalınan veriler yeniden ortaya çıkabilir, tespit edilmemiş beterhoors olabilir, tespit edilmemiş backsors olabilir. Tehditin kaybolmadığı varsayımı altında, sadece uyarlanmış. “