Google, kurumsal Salesforce örneklerinden birinin Haziran ayında UNC6040 olarak izlenen tehdit grubu tarafından tehlikeye atıldığını doğruladı.
Bu olay, kuruluşların Salesforce ortamlarından hassas verileri çalmayı ve ardından gasp taleplerini içeren sesli kimlik avı saldırılarını içeren bir Salesforce saldırı kampanyasının bir parçasıdır.
İhlal, bulut platformlarını hedefleyen sosyal mühendislik taktiklerinin artan risklerini vurgular ve saldırganlar yetkisiz erişim elde etmek için BT desteğini taklit eder.
Google’ın Tehdit İstihbarat Grubu’na (GTIG) göre, saldırı diğer UNC6040 operasyonlarında gözlenen benzer yöntemlerle meydana geldi.
Saldırganlar, genellikle Salesforce’un veri yükleyici aracının değiştirilmiş bir sürümünü olan kötü amaçlı bağlı bir uygulamaya izin vermek için çalışanları kandırmak için Vishing Voice kimlik avı kullandılar.
Google’ın durumunda, etkilenen örnek, küçük ve orta ölçekli işletmeler için iletişim bilgilerini ve notları sakladı. GTIG’nin analizi, tehdit aktörlerinin erişim iptal edilmeden önce kısa bir pencere sırasında veri aldığını gösterdi.
Neyse ki, söndürülen bilgiler, işletme adları ve iletişim bilgileri gibi temel, büyük ölçüde kamuya açık detaylarla sınırlıydı. Google, erişimi keserek, bir etki analizi yaparak ve hafifletmeler uygulayarak hızla yanıt verdi.
UNC6040 Vishing Taktikleri
Bu olay UNC6040’ın değişen taktiklerini vurgular. Başlangıçta Salesforce’un veri yükleyicisine dayanarak grup, işlevlerini çoğaltan özel Python komut dosyalarına geçti.
UNC6040 hackerlar, Mullvad VPN veya TOR ağları aracılığıyla sesli çağrılarla saldırılar başlatarak daha sonra veri toplamayı otomatikleştirir. GTIG, saldırganların webmail ile deneme hesapları oluşturmaktan, kötü amaçlı uygulamalar kaydetmek için ilgisiz kuruluşlardan ödün verilen hesapları kullanmaya geçtiğini belirtiyor.
Bu adaptasyon, izleme ve ilişkilendirmeyi karmaşıklaştırır, bu da güvenlik ekiplerinin tespit etmesini ve yanıt vermesini zorlaştırır.
Emzir, UNC6040’ın oyun kitabında önemli bir rol oynar. Aylar önce meydana gelebilecek veri hırsızlığından sonra, mağdurlar 72 saat içinde Bitcoin ödemeleri için talep alır, genellikle Shinycorp@Tuta gibi adreslerden e -postalar yoluyla[.]com veya ShinyGroup@tuta[.]com.
Aktörler, baskıyı arttırmak için kötü şöhretli Shinyhunters grubuyla yanlış bir şekilde ilişki olduğunu iddia ediyorlar. GTIG, bu tehdit aktörlerinin yakında taktikleri artırmak için bir veri sızıntısı sitesi başlatabileceği ve Salesforce hack’lerine bağlı olanlar da dahil olmak üzere son ihlallerden çalınan verileri ortaya çıkarabileceği konusunda uyarıyor.
Kampanyanın altyapısı, benzer sosyal mühendislik paraleleri için bilinen gevşek organize edilmiş bir kolektif olan “COM” ile bağlantılı unsurlarla örtüşüyor. UNC6040, çokuluslu firmalarda İngilizce konuşan çalışanları hedefliyor ve BT desteğini destekleme çağrılarına ve OKTA ve Microsoft 365 gibi erişim platformlarına olan güvenlerini destekliyor.
Bazı müdahalelerde, saldırganlar, kimlik avı bahanelerine uyum sağlamak için “Bilet Portalım” gibi isimlerle özelleştirilmiş araçlara sahiptir ve yüksek düzeyde sofistike olduğunu gösterir.
GTIG, bu saldırıların Salesforce kusurlarından ziyade insan güvenlik açıklarından yararlandığını vurgulamaktadır. Doğal platform zayıflıkları söz konusu değildi; Bunun yerine, başarı kullanıcıları erişim vermeye ikna etmekten kaynaklanmaktadır. Bu eğilim, veri açığa çıkması için giriş noktası olarak BT personelinin hedeflenmesine yönelik bir kaymaya işaret eder.
Bu tür tehditlerle mücadele etmek için uzmanlar sağlam savunmalar önermektedir. Kuruluşlar, Veri Yükleyicisi gibi araçlar için izinleri sınırlayan en az ayrıcalık ilkesini uygulamalıdır. Bağlı uygulamaların titiz yönetimi, IP tabanlı erişim kısıtlamaları ve evrensel çok faktörlü kimlik doğrulama (MFA) çok önemlidir.
Salesforce Shield aracılığıyla gelişmiş izleme, büyük veri indirmeleri gibi anomalileri tespit edebilir. MFA yorgunluğunu ve kimlik bilgisi paylaşımını önlemek için düzenli denetimler ve vishing taktikleri hakkında kullanıcı eğitimi şarttır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın