Google ve Cisco Raporu CRM yazılımı Vishing aracılığıyla ihlal ediyor

Her iki durumda da, saldırılar, Vishing olarak da bilinen ses kimlik avı içeriyordu ve bulut tabanlı müşteri ilişkileri yönetim yazılımlarında depolanan müşteri verilerinin ihlaline yol açtı.

İhlal bildirimleri, genellikle Shinyhunters gasp grubu veya kolektifle bağları olan bireylere atfedilen bu tür saldırıların devam eden bir dalgasının ortasında gelir.

Google Salı günü, buna yönelik saldırının Haziran ayında başarılı olduğunu ve Salesforce bulut tabanlı CRM yazılım örneklerinden birinde depolanan veri ihlalini içerdiğini söyledi.

Google, “Örnek, küçük ve orta ölçekli işletmeler için iletişim bilgilerini ve ilgili notları depolamak için kullanıldı.” Dedi. “Analiz, erişim kesilmeden önce küçük bir zaman penceresi sırasında verilerin tehdit oyuncusu tarafından alındığını ortaya koydu. Tehdit oyuncusu tarafından alınan veriler, işletme adları ve iletişim bilgileri gibi temel ve büyük ölçüde kamuya açık iş bilgileriyle sınırlıydı.”

Google’ın uyarısı Cuma günü Cisco’yu 24 Temmuz’da ortaya çıktı ve saldırganın bulut tabanlı CRM sisteminden başarılı bir şekilde erişmesine ve dışa aktarılmasına neden oldu.

Cisco, “Olay öğrenildikten sonra, aktörün CRM sistem örneğine erişimi derhal feshedildi ve Cisco soruşturmaya başladı.” Dedi. Diyerek şöyle devam etti: “Araştırmamız, dışa aktarılan verilerin öncelikle Cisco.com’da bir kullanıcı hesabı için kayıtlı bireylerin temel hesap profili bilgilerinden oluştuğunu belirledi.”

Maruz kalan veriler müşterinin adı, kuruluşlarının adı, Cisco atalı bir kullanıcı kimliği, ayrıca e-posta adresi, telefon numarası ve hesap oluşturma tarihi gibi hesapla ilgili meta veriler içeriyordu. Satıcı, saldırının “gizli veya tescilli bilgi veya herhangi bir şifre veya diğer hassas bilgi türleri” nin ortaya çıkmadığını ve herhangi bir Cisco ürün veya hizmetini etkilemediğini söyledi.

Cisco, olayı araştırmak ve ihlalden etkilenen kişileri bilgilendirmek için kolluk kuvvetleri ve veri koruma yetkilileri ile çalıştığını söyledi. Şirket, ihlal edilen CRM yazılımının bir Salesforce örneği olup olmadığı hakkında yorum talebine hemen yanıt vermedi.

Cisco, “Bu olayın neden olabileceği herhangi bir rahatsızlık veya endişe için özür dileriz.” Dedi.

Cisco ve Google, gasp talepleri almışlarsa veya kaç müşterinin etkilendiğini, saldırıların nasıl ortaya çıktığını henüz detaylandırmadı.

Cisco, vites karşıtı savunmalarını güçlendirme sözü verdi. “Her siber güvenlik olayı öğrenmek, esnekliğimizi güçlendirmek ve daha geniş güvenlik topluluğuna yardımcı olmak için bir fırsattır.” Dedi. Diyerek şöyle devam etti: “Gelecekte meydana gelen benzer olayların riskini azaltmak için daha fazla güvenlik önlemi uyguluyoruz, bu da personelin potansiyel aranma saldırılarına karşı nasıl tanımlanacağı ve korunacağı konusunda yeniden eğitim de dahil olmak üzere.”

Kimlik avı gasptan önce

Google’ın kamu veri ihlali bildirimi, belki de ironik bir şekilde, 4 Haziran’da kendi Google tehdit istihbarat grubu tarafından yayınlanan bir güvenlik uyarısına bir güncelleme şeklinde geldi, “bir çağrının maliyeti: ses kimlik avından veri gaspına”, birden fazla Salesforce müşterilerine karşı belirli bir saldırgan grubu tarafından kullanılan taktikler, teknikler ve prosedürler (bkz: bkz: Salesforce, Okta telefon kullanan bilgisayar korsanları tarafından hedeflendi).

Birçok durumda, saldırganlar yardım masalarını, kuruluşun Salesforce portalına kötü niyetli bir bağlantı yetkisi verme konusunda kandırmaya çalıştılar, bu da verilere erişmelerine, sorguları çalıştırmalarına ve bilgileri dışarı atmalarına izin verdiler.

GTIG, UNC6040 kodunu kullanarak bu saldırıları izler ve grubun, 72 saat içinde bitcoin’de ödenecek bir fidye talep ederek, bazen “ilk veri hırsızlığından birkaç ay sonra” kurbanları düzenli olarak zorlamaya çalıştığını söyledi.

“Bu iletişim sırasında, UNC6240 sürekli olarak tehdit grubu Shinyhunters olduğunu iddia etti,” dedi. shinygroup@tuta[.]com Ve shinycorp@tuta[.]com.

Birçok fidye yazılımı grubunun ayak izlerini takip eden Google, Shinyhunters’ın kurbanları ödemeye “adlandırmaya ve utandırmaya” çalışmaları için bir veri sızıntısı sitesi hazırlayabileceği konusunda uyardı.

Google, bir kurbanın Salesforce ortamını ihlal ettikten sonra, UNC6040’ın daha önce elde ettiği son kullanıcı kimlik bilgilerini kullandığı – potansiyel olarak kötü amaçlı yazılımları veya vishing saldırılarını çalma – “, kurbanın hesaplarından verileri OKTA ve Microsoft 365 gibi diğer bulut platformlarındaki verileri erişmek ve püskürtmek için kullandığını söyledi.”

Birçok durumda saldırganlar Shinyhunters’ın bir parçası olduğunu iddia ederken, Google daha geniş bir şekilde, dağınık örümcek gibi grupları da doğuran “Com” olarak bilinen daha geniş siber suç kolektifine bağlı olduklarını söyledi. Google, gözlemlenen sayısız vishing saldırılarında kullanılan üst üste binen TTP’ler, “BT desteği yoluyla sosyal mühendislik, OKTA kimlik bilgilerinin hedeflenmesi ve çokuluslu şirketlerde İngilizce konuşan kullanıcılara ilk odaklanmayı” içeriyordu.

İşyerinde farklı bir grubun operasyonlarını ortaya çıkarmak yerine, “bu benzerliklerin, tehdit aktörleri arasında doğrudan operasyonel bir ilişki olduğunu göstermek yerine, aynı topluluklar içinde faaliyet gösteren ilişkili aktörlerden kaynaklanması mantıklı” dedi.

Son zamanlarda Salesforce örneklerine erişen Shinyhunters’ı içeren veri ihlallerinin vurduğu diğer kuruluşlar arasında perakendeciler Adidas ve Victoria’s Secret, Lüks Moda Evi Chanel, LVMH markaları Dior, Louis Vuitton ve Tiffany, sigortacı Allianz Life ve Avustralya Havayolları bulunmaktadır.

Shinyhunters saldırısı da olabilecek şeyde, Salı günü Danimarkalı mücevher şirketi Pandora, “bazı müşteri bilgilerine kullandığımız üçüncü taraf bir platform aracılığıyla erişildiği” bir ihlali açıkladı.