Bilgisayar korsanları, Salesforce ile sürüklenen sohbet aracısı entegrasyonundan Müşteri ortamlarına ve verileri peçeleye sürüklemek ve vergiyi çalmak için OAuth ve yenilemek için satış otomasyon platformu Salesloft’u ihlal etti.
Shinyhunters gasp grubu, bu ek Salesforce saldırıları için sorumluluk iddia ediyor.
Salesloft’un SalesDrift, Drift AI sohbet acentesini bir Salesforce örneğiyle birleştiren ve kuruluşların konuşmaları, potansiyel müşterileri ve destek durumlarını CRM’lerine senkronize etmelerini sağlayan üçüncü taraf bir platformdur.
Salesloft’a göre, tehdit aktörleri Salesforce entegrasyonu için kullanılan Drift oauth ve yenileme jetonlarını elde etti ve bunları 8 Ağustos ve 18 Ağustos 2025 arasında bir Salesforce Veri hırsızlığı kampanyası yürütmek için kullandı.
“İlk bulgular, aktörün birincil amacının, özellikle AWS erişim anahtarları, şifreler ve kar tanesi ile ilgili erişim belirteçleri gibi hassas bilgilere odaklanan kimlik bilgilerini çalmak olduğunu göstermiştir.”
Diyerek şöyle devam etti: “Bu olayın sürüklenme satışı entegrasyonumuzu kullanmayan müşterileri etkilemediğini belirledik. Devam eden araştırmamıza dayanarak, bu olayla ilgili devam eden kötü amaçlı faaliyetlerin kanıtını görmüyoruz.”
Salesforce ile koordineli olarak Salesloft, sürüklenme uygulaması için tüm aktif erişim ve yenileme jetonlarını iptal etti ve müşterilerin Salesforce örnekleriyle yeniden yetersizlik etmelerini gerektirdi.
Yeniden taahhüt etmek için yöneticiler Ayarlar > Entegrasyonlar > Salesforceentegrasyonu ayırın ve ardından geçerli Salesforce kimlik bilgileriyle yeniden bağlantı kurun.
Google’ın Tehdit İstihbarat Ekibi (Mantiant), tehdit oyuncusunu UNC6395 olarak izliyor ve bir Salesforce örneğine erişim kazandıklarında, vaka kimlik doğrulaması, şifre ve sırları destek vakalarından çıkarmak için SOQL sorguları yayınladıklarını ve daha ileri platformları ihlal etmelerini sağladıklarını belirtiyor.
Google, “GTIG, UNC6395’i Amazon Web Services (AWS) Erişim Anahtarları (AKIA), parolalar ve kar tanesi ile ilgili erişim belirteçleri gibi hassas kimlik bilgilerini hedefleyen gözlemledi.”
“UNC6395, sorgu işlerini silerek operasyonel güvenlik bilincini gösterdi, ancak günlükler etkilenmedi ve kuruluşlar veri maruz kalma kanıtı için ilgili günlükleri hala gözden geçirmelidir.”
Altyapılarını gizlemek için saldırganlar TOR kullanmanın yanı sıra AWS ve DigitalOcean gibi sağlayıcılara ev sahipliği yaptı. Veri hırsızlığı saldırılarıyla ilişkili kullanıcı ajanı dizeleri arasında ‘Python-Requests/2.32.4’, ‘Python/3.11 AIOHTTP/3.12.15’ ve ‘Salesforce-Multi-org-fetcher/1.0’ ve ‘Salesforce-Cli/1.0’ kullanan özel araçlar için yer alır.
Google, yöneticilerin Salesforce günlüklerini aramalarına ve saldırılardan etkilenip etkilemediklerini belirlemelerine yardımcı olmak için raporunda IP adreslerinin ve kullanıcı aracılarının bir listesini sağlamıştır.
Etkilenen ortamların yöneticilerinin kimlik bilgilerini döndürmeleri ve daha sonra çalınmış olabilecek ek sırlar için Salesforce nesnelerini aramaları önerilir. Bunlar şunları içerir:
- Uzun vadeli AWS erişim anahtarı tanımlayıcıları için Akia
- Snowflake kimlik bilgileri için kar tanesi veya snowflakecomputing.com
- Parola, gizli, kimlik bilgisi materyaline potansiyel referanslar bulmak için anahtar
- VPN veya SSO Giriş Sayfaları gibi kuruluşa özgü oturum açma URL’leriyle ilgili dizeler
Google bu etkinliği yeni bir sınıflandırıcı olan UNC6395 altında izlerken, Shinyhunters gasp grubu BleepingComputer’a bu etkinliğin arkasında olduklarını söyledi.
Temas edildiğinde, grup bir temsilci BleepingComputer’a, “Dün aniden çalışmayı bırakmaya şaşmamalı” dedi.
Devam eden Salesforce saldırıları
Salesloft jetonlarının hırsızlığı, dağınık örümcek olarak sınıflandırılan tehdit aktörleriyle de örtüştüğünü iddia eden Shinyhunters Grubu ile bağlantılı daha büyük bir Salesforce veri ihlali dalgasının bir parçasıdır.
Shinyhunters, BleepingComputer’a verdiği demeçte, “Zaten tekrar tekrar söylediğimiz gibi, Shinyhunters ve dağınık örümcek bir ve aynı.” Dedi.
“Bize başlangıç erişimini sağlıyorlar ve Salesforce CRM örneklerinin dökümü ve pessasyonunu yapıyoruz. Tıpkı kar tanesi gibi yaptığımız gibi.”
Yılın başından bu yana, tehdit aktörleri Salesforce örneklerini ihlal etmek ve veri indirmek için sosyal mühendislik saldırıları yürütüyor.
Bu saldırılar sırasında, tehdit aktörleri çalışanları kötü niyetli bir OAuth uygulamasını şirketlerinin Salesforce örnekleriyle bağlamaya yönelik ses kimlik avı (vishing) yürütüyor.
Bağlanttıktan sonra, tehdit aktörleri bağlantıyı veritabanlarını indirmek ve çalmak için kullandılar, bu da şirketi e -posta yoluyla zorlamak için kullanıldı.
Google Haziran ayındaki saldırıları ilk bildirdiğinden beri, Google’ın kendisi, Cisco, Farmers Insurance, Workday, Adidas, Qantas, Allianz Life ve LVMH yan kuruluşları Louis Vuitton, Dior ve Tiffany & Co.
Bu ek saldırılarla, tehdit aktörleri taktiklerini sadece şirketlere değil, aynı zamanda müşterilerin bulut hizmetlerini ve altyapısını da ihlal etmek için çalıntı verileri kullanmaya genişletti.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.