Palo Alto Networks, saldırganların Salesforce örneğine erişmek için Salesloft Drift ihlalinden ödün verilen OAuth jetonlarını istismar ettikten sonra müşteri verilerini ve destek durumlarını ortaya çıkaran bir veri ihlali yaşadı.
Şirket, geçen hafta açıklanan bir tedarik zinciri saldırısından etkilenen yüzlerce şirketten biri olduğunu ve tehdit aktörlerinin veri çalmak için kimlik doğrulama jetonlarını kullandıkları belirtiliyor.
BleepingComputer, bu hafta sonu ihlalleri Palo Alto Networks müşterilerinden öğrendi, bu da ihlalin BT bilgileri ve şifreler gibi hassas bilgilerin destek biletlerinde paylaşıldığı endişesini dile getirdi.
Palo Alto Networks daha sonra BleepingComputer’a olayın Salesforce CRM ile sınırlı olduğunu ve herhangi bir ürün, sistem veya hizmeti etkilemediğini doğruladı.
Palo Alto Networks, BleepingComputer’a verdiği demeçte, “Palo Alto Networks, Salesforce verilerini ortaya çıkaran Salesloft Drift uygulamasını hedefleyen yaygın tedarik zinciri saldırısından etkilenen yüzlerce müşteriden biri olduğunu doğruladı.” Dedi.
Diyerek şöyle devam etti: “Olayı hızlı bir şekilde dahil ettik ve uygulamayı Salesforce ortamımızdan devre dışı bıraktık. Ünite 42 soruşturmamız, bu durumun herhangi bir Palo Alto Networks ürünlerini, sistemlerini veya hizmetlerini etkilemediğini doğrular.”
“Saldırgan, iç satış hesap kayıtları ve temel vaka verileri ile birlikte öncelikle iş iletişimini ve ilgili hesap bilgilerini çıkardı. Etkilenen müşterileri doğrudan bilgilendirme sürecindeyiz.”
Google’ın Tehdit İstihbarat Ekibi tarafından UNC6395 olarak izlenen kampanya, özellikle diğer bulut hizmetlerine pivot ve verileri çalmak için kullanılabilecek kimlik doğrulama jetonları, şifreler ve bulut sırları gibi hassas verileri tanımlamak için destek durumlarını hedefledi.
Palo Alto Networks, BleepingComputer ile paylaşılan bir danışmanlıkta, “Gözlemlerimiz, tehdit oyuncusunun hesap, temas, vaka ve fırsat kayıtları da dahil olmak üzere çeşitli Salesforce nesnelerinden hassas verilerin kütle birleştiğini gösteriyor.”
“Dökümün ardından, aktör, muhtemelen daha fazla saldırı kolaylaştırmak veya erişimlerini genişletmek amacıyla, kimlik bilgileri için edinilen verileri aktif olarak tarıyor gibi görünüyordu. Tehdit oyuncunun, muhtemelen bir anti-forensics tekniği olarak yürüttükleri işlerin kanıtlarını gizlemek için sorguları sildiğini gözlemledik.
Palo Alto Networks, saldırganların AWS Access Anahtarları (AKIA), kar tanesi jetonları, VPN ve SSO giriş dizeleri ve “şifre,” gizli “veya” anahtar “gibi genel anahtar kelimeler dahil olmak üzere sırlar aradıklarını bildiriyor.
Bu kimlik bilgileri daha sonra gasp saldırıları için verileri çalmak için ek bulut platformlarını ihlal etmek için kullanılabilir.
Önceki bir Google raporunda ve yeni bir Palo Alto Networks Tehdit Özeti, tehdit aktörlerinin veri çalmak için otomatik araçlar kullandığını ve kullanıcı ajanı dizeleri bazılarının özel araçlar olduğunu gösterdiğini söylüyor:
python-requests/2.32.4
Python/3.11 aiohttp/3.12.15
Salesforce-Multi-Org-Fetcher/1.0
Salesforce-CLI/1.0
Bu saldırıların bir parçası olarak, tehdit aktörleri hesaptan, temas, vaka ve fırsat Salesforce nesnelerindeki verileri seri olarak ortaya koydu.
Tespitten kaçınmak için, tehdit aktörleri kütükleri sildi ve Tor’u kökenlerini gizlemek için kullandı.
Palo Alto Networks, ilişkili belirteçleri iptal ettiğini ve olaydan sonra kimlik bilgilerini döndürdüğünü belirtiyor.
Palto Alto Networks, Salesforce ve Google, oauth jetonlarının nasıl çalındığına dair soruşturma devam ederken, sürüklenme entegrasyonlarını devre dışı bıraktı.
Tedarik zinciri saldırısı Zscaler ve Google dahil olmak üzere diğer şirketleri etkiledi.
Salesforce veri hırsızlığı saldırıları
Yılın başından bu yana Salesforce, Shinyhunters gasp grubu ile ilişkili üyeler tarafından yürütülen veri hırsızlığı saldırılarının hedefi olmuştur.
Geçmiş saldırılarda, tehdit aktörleri çalışanları kötü niyetli bir OAuth uygulamasını şirketlerinin Salesforce örnekleriyle bağlamaya yönelik olarak kandırmak için Voice Kimlik Avı (Vishing) gerçekleştirdi.
Bağlanttıktan sonra, tehdit aktörleri bağlantıyı veritabanlarını indirmek ve çalmak için kullandılar, bu da şirketi e -posta yoluyla zorlamak için kullanıldı.
Bununla birlikte, Salesloft ihlali ile tehdit aktörleri çalınan OAuth jetonlarını kullanarak veri çalabildiler.
Google Haziran ayındaki saldırıları ilk bildirdiğinden beri, Google’ın kendisi, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life ve LVMH yan kuruluşları Louis Vuitton, Dior ve Tiffany & Co.
Bazı araştırmacılar BleepingComputer’a Salesloft tedarik zinciri saldırılarının aynı tehdit aktörlerini içerdiğine inandıklarını söylese de Google, bağlantılı olduklarına dair kesin bir kanıt olmadığını söylüyor.
Baş Tehdit Analisti Austin Larsen, “Şu anda onları birbirine bağlayan zorlayıcı bir kanıt görmedik.” Google Tehdit İstihbarat Grubu, BleepingComputer’a verdiği demeçte.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.