Sofistike bir sesli kimlik avı operasyonu, dünya çapında kuruluşlar için önemli bir tehdit olarak ortaya çıktı ve siber suçlular, hassas verileri çalmak ve fidye ödemelerini talep etmek için Salesforce ortamlarına başarıyla sızdı.
Google’ın Tehdit İstihbarat Grubu, birincil tehdit kümesini UNC6040 olarak belirleyen bu finansal olarak motive olmuş kampanyayı belirledi ve bu da telefon tabanlı sosyal mühendislik saldırılarını ikna ederek kurumsal ağları ihlal etmede endişe verici bir başarı gösterdi.
Sesli kimlik avı hedefleri destekliyor
Siber suç grubu UNC6040, şüphesiz çalışanlara yapılan telefon görüşmeleri sırasında BT destek personelinin taklit edilmesini içeren aldatıcı bir stratejiyi mükemmelleştirmiştir.
Bu saldırganlar öncelikle çokuluslu şirketlerin İngilizce konuşan şubelerini hedef alarak çalışanların belirgin teknik destek personeline verdiği güvenden yararlanıyor.
Bu hileli çağrılar sırasında, suçlular mağdurlara meşru görünen ancak aslında kuruluşlarının Salesforce örneklerine yetkisiz erişim sağlayan bir süreç boyunca rehberlik ediyor.
- Kötü amaçlı uygulama yetkisi: Saldırganlar, sahte veri yükleyici uygulamalarını onaylamak için kurbanları Salesforce’un bağlı uygulama kurulum sayfasına yönlendirir.
- Değiştirilmiş Araçlar: Suçlular, farklı isimlerle veya markalaşma ile meşru Salesforce veri yükleyici yazılımının değiştirilmiş versiyonlarını kullanıyor.
- Kapsamlı erişim: Yetkilendirildikten sonra, bu kötü amaçlı uygulamalar organizasyonel verilere erişmek, sorgulamak ve çalmak için geniş özellikler sağlar.
- Güven Sömürü: Program, çalışanların belirgin BT destek personeline olan doğal güvenine dayanmaktadır.
Saldırganların metodolojisi, kurbanları Salesforce portallarında kötü niyetli bağlantılı uygulamalara izin vermeye yönlendirmeye odaklanıyor.
Bunu, çalışanları Salesforce’un Bağlı Uygulama Kurulum sayfasına yönlendirerek ve meşru bir veri yükleyici uygulaması gibi görünen şeyi onaylamalarını öğreterek başarırlar.
Bununla birlikte, bu uygulama aslında tespiti önlemek için farklı isimler veya markalaşma taşıyan tehdit aktörleri tarafından kontrol edilen değiştirilmiş bir versiyondur.
Yetkilendirildikten sonra, bu kötü amaçlı uygulama, suçlulara doğrudan uzlaşmış Salesforce ortamlarından hassas organizasyonel verilere erişmek, sorgulamak ve çalmak için kapsamlı yetenekler sunar.
Google’ın kendi kurumsal Salesforce örneği, Haziran ayında benzer UNC6040 faaliyetine kurban düşerek küçük ve orta ölçekli işletmeler için iletişim bilgilerini etkiledi.
Şirket hızla yanıt verirken ve ihlali temel iş bilgileriyle sınırlarken, olay kampanyanın güvenlik bilincine sahip kuruluşlara karşı geniş erişimini ve etkinliğini göstermektedir.
Başarılı veri ortaya çıkmasının ardından, UNC6240 olarak adlandırılan ikincil bir tehdit grubu gasp faaliyetlerini başlatır, bazen mağdurlarla temas kurmadan önce birkaç ay bekler.
Bu gasp girişimleri tipik olarak hedeflenen kuruluşun çalışanları ile doğrudan iletişim içerir ve 72 saatlik son tarihlerde bitcoin ödemeleri talep eder.
Gaspçılar, muhtemelen kurbanları üzerindeki baskıyı arttırmak için psikolojik bir taktik olarak kötü şöhretli hackleme grubu Shinyhunters ile tutarlı bir şekilde ilişki olduğunu iddia ediyorlar.
Google istihbarat raporları, bu tehdit aktörlerinin, fidye talepleri karşılanmazsa çalıntı bilgileri halka açık olarak yayınlamak için bir platform sağlayacak bir veri sızıntısı sitesi başlatarak taktiklerini artırmaya hazırlanabileceğini gösteriyor.
Bu gelişme, grubun yeteneklerinde önemli bir artışı temsil eder ve çalınan verileri birden fazla basınç noktası aracılığıyla para kazanma taahhüdünü gösterir.
Salesforce Güvenlik Protokollerini Güçlendirin
Güvenlik uzmanları, bu sofistike sosyal mühendislik saldırılarına karşı savunmanın kapsamlı koruma stratejilerinin uygulanmasını gerektirdiğini vurgulamaktadır.
Kuruluşlar, özellikle tam işlevsellik için “API Etkin” izni gerektiren veri yükleyicisi gibi veri erişim araçları için en az ayrıcalık ilkesine kesinlikle uymalıdır.
Bu güçlü izin geniş veri ihracat yeteneklerine izin verir ve dikkatlice kontrol edilmeli ve düzenli olarak denetlenmelidir.
Kritik güvenlik önlemleri, bağlantılı uygulamaların titiz bir şekilde yönetilmesini içerir ve kuruluşların dış uygulamaların satıcı ortamlarıyla nasıl etkileşime girdiğini kontrol etmeleri gerekir.
İdari personel, “Uygulamayı Özelleştir” ve “Bağlı Uygulamaları Yönet” gibi güçlü izinleri yalnızca temel güvenilir personelle sınırlamalıdır.
Ayrıca, IP tabanlı erişim kısıtlamalarının uygulanması, bu tehdit aktörleri tarafından yaygın olarak kullanılan ticari VPN’lerden yetkisiz erişim girişimlerine karşı koyabilir.
Kampanya, anormal veri erişim modellerini ve yetkisiz uygulama kurulumlarını tespit etmek için geleneksel güvenlik önlemlerinin kapsamlı kullanıcı eğitimi ve sağlam izleme sistemleri ile tamamlanması gereken siber suçların gelişen doğasını vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!