Son birkaç ay boyunca, bir tehdit grubu aktif olarak kuruluşların Salesforce örneklerini ihlal ediyor ve müşteri ve iş verilerini ortaya çıkarıyor, Google Tehdit İstihbarat Grubu (GTIG) uyardı.
Şu anda UNC6040 olarak izlenen söz konusu saldırganlar, sesli kimlik avında (“Vishing”) Üstatlardır: Kuruluşların BT personelini destekliyor ve çalışanları kimlik bilgilerini paylaşmaya ve kötü amaçlı bir uygulamayı kuruluşlarının Salesforce Portalına bağlamaya yönlendiriyorlar.
Birincil amaç, daha sonra kurban organizasyonundan para kazanmaya çalışmak için kullanılan hassas verilerin ortaya çıkmasıdır.
Google’ın tehdit analistleri, “Bu ilk veri hırsızlığını takiben, UNC6040’ın kurbanın ağı boyunca yanal olarak hareket ettiği, OKTA, işyeri ve Microsoft 365 gibi diğer platformlardan verilere erişmesi ve eklenmesi gözlendi” dedi.
Salesforce odaklı pervaz
Devam eden bu kampanyada, tehdit aktörleri öncelikle çok uluslu şirketlerde İngilizce konuşan çalışanları hedefliyor.
Vishing çağrıları sırasında, onları kuruluşun Salesforce ortamına kötü amaçlı bir uygulamaya bağlamaya veya alternatif olarak kimlik avı sayfalarını ziyaret etmeye ve kullanıcı kimlik bilgilerini ve çok faktörlü kimlik doğrulama kodlarını girmeye kandırırlar, daha sonra saldırganların uygulama bağlantı sürecini doğrulamak ve gerçekleştirmek için kullanırlar.
Kullandıkları kötü amaçlı uygulama, Salesforce’un meşru veri yükleyici uygulamasının değiştirilmiş bir sürümüdür, ancak şüpheyi arttırmak için adı ve marka değiştirilmiştir.
Saldırı Akışı (Kaynak: Maniant)
Tehdit analistleri, “Bu adım yanlışlıkla UNC6040’a doğrudan tehlikeye atılan Salesforce müşteri ortamlarından doğrudan hassas bilgilere erişmek, sorgulamak ve sunmak için önemli yetenekler veriyor” dedi.
“Bazı durumlarda, ilk UNC6040 saldırı faaliyetinden birkaç ay sonra gasp faaliyetleri gözlemlenmedi, bu da UNC6040’ın çalınan verilere erişimi para kazanan ikinci bir tehdit oyuncusu ile ortaklık kurduğunu gösterebilir” diye ekledi.
“İlk uzlaşma ve gasp arasındaki uzun süreli zaman çerçevesi göz önüne alındığında, birden fazla kurban örgütü ve potansiyel olarak aşağı yönlü kurbanların önümüzdeki haftalar veya aylarda gasp talepleriyle karşılaşabilmesi mümkündür.”
UNC6040’ın Sosyal Mühendislik Taktikleri Daha Geniş Vishing Trends
UNC6040’ın altyapısı ve TTPS – Vishing, BT desteğini taklit etmek, OKTA kimlik bilgilerinin hedeflenmesi – “COM” olarak bilinen gevşek organize kolektifle örtüşüyor.
Google’ın analistleri, veri eksfiltrasyonu farklı hızlarda gerçekleştirilir ve yürütülen sorgularla araç ve yetenekler ile yeterlilik, bir müdahaleden diğerine farklı görünmektedir.
“Gözlemlenen tüm durumlarda, saldırganlar son kullanıcıları manipüle etmeye, Salesforce’un doğasında olan herhangi bir güvenlik açığından yararlanmamaya güveniyorlardı” diye belirttiler.
Salesforce bu saldırıların farkında, müşterileri onlar hakkında uyarıyor ve bu tür tehditlere karşı savunmaya yardımcı olabilecek en iyi uygulamaları ve platform özelliklerini paylaşıyor.
Mantiant’ın olay müdahale ekipleri, kuruluşların şu anda karşı karşıya kaldığı ve savunma eylemlerinin yapılacağı tavsiye tehditlerine daha genel bir bakış yayınladılar.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!