Salesforce, Okta telefon kullanan bilgisayar korsanları tarafından hedeflendi


Dolandırıcılık Yönetimi ve Siber Suç, Sosyal Mühendislik

Bilgisayar korsanları ID destek personelini taklit eder

Akhabokan Akan (Athokan_akhsha) •
5 Haziran 2025

Salesforce, Okta telefon kullanan bilgisayar korsanları tarafından hedeflendi
Tehlikeli bir hackleme aracı. (Resim: Shutterstock)

Son İngiliz perakendeci saldırılarına bağlı bir hack kolektifi, Avrupa misafirperverliği, perakende ve eğitim sektörlerinden veri hırsızlığı için bulut şirketlerini hedeflemek veya sesli kimlik avı dolandırıcılığı hedefliyor.

Kendisini “Topluluk” olarak adlandıran bir çocuk hacker topluluğu olan COM, COM, kurumsal verilere erişmek ve kuruluşlara yanal olarak hareket etmek için Salesforce’un Veri Yükleyici aracından yararlanıyor, Google Araştırmacılar Çarşamba dedi. Google’ın UNC6040 olarak izlediği etkinliğe atfettiği kampanya, Amerika ve Avrupa genelinde misafirperverlik, perakende ve eğitim gibi sektörleri hedefliyor ve şu ana kadar yaklaşık 20 kuruluş etkileniyor.

Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır

Bilgisayar korsanları, BT destek personelini telefon tabanlı vishing saldırılarında destekleyerek, çalışanları Salesforce’un Veri Yükleyici Bağlı Uygulamasının kötü niyetli sürümlerini yüklemeye kandırıyor. Bu, saldırganlara doğrudan Salesforce ortamlarından duyarlı verileri yaymak için geniş erişim sağlar ve daha sonra OKTA, Microsoft 365 ve Workplace gibi diğer platformları hedefler.

Bazı kurbanlar, ilk müdahaleden aylara kadar gasp talepleri ile değildi, UNC6040 ile çalınan bilgileri dolduran diğer siber suçlu gruplar arasındaki olası ortaklıklara işaret ediyorlardı. Google, özellikleri paylaşan çeşitli müdahalelerde ortak altyapı gözlemlediğini “daha önce UNC6040 ile bağlantılı unsurlarla ve ‘com’ olarak bilinen daha geniş, organize edilmiş kolektifle bağlardan şüphelenen tehdit grupları ile gözlemlediğini söyledi.

Hacks, saldırganların Salesforce çalışanlarıyla telefonla temasa geçmesi ve kurbanları Salesforce Veri Yükleyicisinin kötü niyetli bir sürümünü indirmeleri için yönlendirmesiyle başladı. Saldırganlar aracılığıyla kurbanları, Salesforce istemci ortamına doğrudan entegrasyona izin veren uygulamanın bir “bağlantı kodu” girmelerini ister.

Google, “Bu adım yanlışlıkla UNC6040’a doğrudan tehlike sağlanan Salesforce müşteri ortamlarından doğrudan erişmek, sorgulamak ve sunmak için önemli yetenekler vermektedir.” Dedi.

Saldırganlar, tehlikeye atılan ortamda yanal olarak hareket etmek ve hedefin Okta ve Microsoft 365 ortamlarından duyarlı verilere erişmek için son kullanıcı kimlik bilgilerini çalmaya devam ediyor. Ayrıca, Google Mandiant grup tarafından kullanılan benzer bir Okta kimlik avı altyapısını ortaya çıkardı.

Saldırının son aşamasında, bilgisayar korsanları, ağırlıklı olarak Avrupa ve Amerika Birleşik Devletleri’ndeki misafirperverliği, perakende, eğitim ve diğer sektörleri içeren kurbanlarını zorlamak için verileri sunuyor.

Bir Salesforce sözcüsü, saldırıların “bireysel kullanıcıların siber güvenlik farkındalığı ve en iyi uygulamalarındaki boşluklardan yararlanmak için tasarlanmış dolandırıcılıklar” olduğunu ve sistemlerindeki güvenlik açıklarının kullanılmasının hiçbir göstergesi olmadığını söyledi.

Büyük ölçüde ABD ve İngiltere’den İngilizce konuşan ergen bilgisayar korsanlarından oluşan bir hack grubu olan Scoled Spider, bu kampanyanın bir parçası olduğundan şüpheleniliyor. Grubun, İngiliz perakende satış noktaları ve Spencer, Harrods ve Co-op’un hizmet ve tedarik kesintilerine neden olan Mayıs ayında uzlaşmasının arkasında olduğu iddia ediliyor (bakınız: Dağınık örümcek artıda perakende sektörü).

Salı günü yapılan bir Londra konferansında, İngiliz siber yetkililer, UNC6040 ve dağınık örümcek gibi İngilizce konuşan grupların, fidye yazılımlarına ve Rusça konuşan siber suç grupları arasında parçalanmaya ve güvensizliğe yol açan diğer hack gruplarına karşı uygulama eylemlerinin ardından öne çıktığını söyledi.

İngiliz Ulusal Polis Şefleri Konseyi’nin siber suç ekibinden Jeremy Banks, “Şu anda İngiltere’de gördüğümüz şey, şimdi çok daha fazla İngilizce tabanlı tehdit aktörlerinin öne çıkması, oysa çok düşmanca bir devlet gelmeden önce,” dedi.

Bu gruplar öncelikle ABD, İngiltere veya Avustralya’dan. Banks, taktikleri daha az sofistike olsa da, saldırıları “oldukça etkili” dedi.





Source link