Reliaquest araştırmacılarına göre Scattered Lapsus$ Hunters’a bağlı hackerlar Zendesk ortamlarına karşı bir tehdit kampanyası hazırlıyor olabilir.
Son altı ay içinde Zendesk ortamlarını taklit eden yaklaşık 40 yazım hatası yapan ve kimliğe bürünen alan oluşturuldu. Çarşamba günü yayınlanan bir bloga göre Reliaquest tarafından. Zendesk, bulut tabanlı müşteri hizmetleri ve satış yazılımı sağlayan bir şirkettir.
Bloga göre, bazı alan adları, kullanıcıları kandırmak ve kimlik bilgilerini çalmak için kullanılabilecek sahte tek oturum açma portalları içeren kimlik avı sayfaları barındırıyor.
Reliaquest’e göre alanlar, Cloudflare maskeli ad sunucuları, ABD ve İngiltere merkezli tescil ettirenlerin iletişim bilgileri ve NiceNik aracılığıyla kayıt dahil olmak üzere birçok önemli kayıt defteri detayını içeriyordu.
Araştırmacılar, bilgisayar korsanlarının, portalı müşteri hizmetleri için kullanan kuruluşlar tarafından işletilen meşru Zendesk portallarına sahte biletler gönderdiğine dair kanıtları olduğu konusunda uyarıyor. Reliaquest’e göre sahte bildirimler, yardım masası ve destek personelini hedef alarak onlara uzaktan erişim Truva atları ve diğer kötü amaçlı yazılım türlerini bulaştırmak için tasarlandı.
Reliaquest sözcüsü, araştırmacıların bulgularını Zendesk ile paylaştıklarını söyledi.
Zendesk’in bir sözcüsü Cybersecurity Dive’a e-posta yoluyla şunları söyledi: “Güvenlik ekibimiz potansiyel kimlik avı sitelerini, sahte alan adlarını veya ticari markalarımızın kötü amaçlı faaliyetler için kötüye kullanımını sürekli olarak izliyor.” “Ortaya çıkan tehditlere hızla yanıt veriyoruz, etkilenen tarafları uyarıyoruz ve müşterilerimizin güvenliğini sağlamak için uygun olduğunda koruyucu önlemler uyguluyoruz.”
Reliaquest’e göre bu unsurlar, Salesforce ortamlarını hedef alan Scattered Lapsus$ Hunters ile bağlantılı Ağustos ayındaki bir kampanyayla bağlantılı olarak keşfedilen ayrıntılara benziyor.
Geçen ayın sonlarında Zendesk ve Hubspot Gainsight ile olan bağlantıları, şirketin müşterilerinin Salesforce ile bağlantılı bir tehdit kampanyasında hedef alınmasının ardından duraklatıldı. Geçtiğimiz ay Google Tehdit İstihbarat Grubu’ndaki araştırmacılar, Salesforce müşteri verilerinin Gainsight bağlantıları aracılığıyla tehlikeye atılmış olabileceği 200’den fazla vakanın araştırıldığını söyledi.
Reliaquest, Zendesk kampanyasının Discord ile bağlantılı bir saldırıdan iki ay sonra geldiğini söyledi. Bu olayda bilgisayar korsanları, Discord’un müşteri hizmetleri için kullandığı üçüncü taraf bir satıcıyı hedef aldı.
Bu olayda yaklaşık 70.000 kullanıcının resmi kimlik fotoğrafları açığa çıkmış olabilir. Discord’un bir blog gönderisine göre. Discord’la müşteri hizmetleri veya güvenlik ekipleri aracılığıyla iletişime geçen müşterilere ilişkin bazı veriler çalındı.
Discord’a göre bilgisayar korsanları onlardan fidye almayı amaçlıyordu.