Google, kuruluşların büyük ölçekli veri hırsızlığı ve sonraki gasp için Salesforce örneklerini ihlal etmek için tasarlanmış sesli kimlik avı (diğer adıyla Vishing) kampanyalarında “uzmanlaştığını” söylediği finansal olarak motive olmuş bir tehdit kümesinin ayrıntılarını açıkladı.
Teknoloji devinin tehdit istihbarat ekibi, takma adın altındaki etkinliği izliyor UNC6040Söylediği, Com olarak bilinen çevrimiçi bir siber suç kolektifi ile bağları ile tehdit gruplarıyla uyumlu özellikler sergiliyor.
Hacker News ile paylaşılan bir raporda, “Son birkaç ay içinde UNC6040, operatörlerinin BT destek personelini telefon tabanlı sosyal mühendislik sözleşmelerini ikna ettirmede taklit etmesini sağlayarak ağları ihlal etmede tekrarlanan başarı gösterdi.” Dedi.
Google’ın Tehdit İstihbarat Grubu (GTIG), bu yaklaşımın, İngilizce konuşan çalışanları tehdit aktörlerine erişim sağlayan veya daha sonra veri hırsızlığını kolaylaştırmak için kullanılan kimlik bilgileri gibi değerli bilgilerin paylaşılmasına yol açan eylemlere kandırmanın avantajına sahip olduğunu ekledi.
UNC6040 faaliyetlerinin dikkate değer bir yönü, Salesforce’un veri yükleyicisinin, kurbanların, Vishing saldırısı sırasında kuruluşun Salesforce portalına bağlanacak şekilde yetkilendirilmesine kandırıldığı değiştirilmiş bir versiyonunun kullanılmasını içerir. Veri Yükleyicisi, Salesforce platformunda toplu olarak verileri içe aktarmak, dışa aktarmak ve güncellemek için kullanılan bir uygulamadır.
Özellikle, saldırganlar hedefe Salesforce’un bağlı uygulama kurulum sayfasını ziyaret etmek ve veri yükleyicisi uygulamasının farklı bir ad veya marka (örneğin, “benim bilet portalım”) taşıyan değiştirilmiş sürümünü onaylamak için rehberlik eder. Bu eylem onlara Salesforce müşteri ortamlarına yetkisiz erişim sağlar ve verileri dışarı atar.
Veri kaybının ötesinde, saldırılar UNC6040’ın kurbanın ağı boyunca yanal olarak hareket etmesi ve daha sonra Okta, Workplace ve Microsoft 365 gibi diğer platformlardan bilgiye erişip hasat etmesi için bir adım taşı görevi görür.
Seçim olayları da gasp faaliyetlerini de içeriyordu, ancak ilk müdahalelerden sadece “birkaç ay” gözlendikten sonra, muhtemelen ikinci bir tehdit oyuncusu ile ortaklaşa çalınan verilerden para kazanma ve kâr etme girişimini gösterdi.
Google, “Bu gasp denemeleri sırasında, aktör, muhtemelen kurbanları üzerindeki baskıyı arttırmak için bir yöntem olarak tanınmış hack grubu Shinyhunters ile ilişkiyi talep etti.” Dedi.
UNC6040’ın, OKTA kimlik bilgilerinin hedeflenmesinden ve sosyal mühendisliğin BT desteği yoluyla kullanımı ile örtüşmesi, dağınık örümcek, gevşek örgülü organize kolektifin bir parçası olan başka bir finansal olarak motive olmuş tehdit aktörü tarafından kucaklanan bir taktik.
Vishing kampanyası, Mart 2025’te Sosyal Mühendislik taktiklerini kullanan tehdit aktörlerini telefonla taklit etmek ve müşterilerinin çalışanlarını kimlik bilgilerini vermeleri veya değiştirilmiş veri yükleyici uygulamasını onaylamaya yönelik tehdit aktörleri konusunda uyaran Salesforce tarafından fark edilmedi.
“Müşterilerimizin çalışanlarını ve üçüncü taraf destek çalışanlarını, kimlik bilgilerini ve MFA jetonlarını çalmak için tasarlanmış veya kullanıcıların girişte gezinmesini istedikleri kimlik avı sayfalarına verdikleri bildirildi.[.]Com/setup/bağlama sayfası kötü niyetli bir uygulama eklemek için, “dedi şirket.
“Bazı durumlarda, kötü amaçlı bağlı uygulamanın farklı bir ad ve/veya markalaşma altında yayınlanan Veri Yükleyici uygulamasının değiştirilmiş bir sürümü olduğunu gözlemledik. Tehdit oyuncusu bir müşterinin Salesforce hesabına eriştikten veya bağlı bir uygulama eklediğinde, verileri sunmak için bağlı uygulamayı kullanırlar.”
Gelişme sadece sosyal mühendislik kampanyalarının devam eden karmaşıklığını vurgulamakla kalmaz, aynı zamanda destek personelinin ilk erişim elde etmenin bir yolu olarak nasıl giderek daha fazla hedeflendiğini de gösterir.
Google, “UNC6040’lar gibi kampanyaların başarısı, bu rafine vishing taktiklerinden yararlanıyor, bu yaklaşımın örgütsel savunmaları ihlal etmek isteyen finansal olarak motive olmuş gruplar için etkili bir tehdit vektörü olarak kaldığını gösteriyor.” Dedi.
Diyerek şöyle devam etti: “İlk uzlaşma ve gasp arasındaki uzatılmış zaman çerçevesi göz önüne alındığında, birden fazla kurban örgütü ve potansiyel olarak aşağı yönlü kurbanların önümüzdeki haftalarda veya aylarda gasp talepleriyle karşılaşabilmesi mümkündür.”