Shinyhunters gasp grubu, tehlikeye atılan Salesloft Drift OAuth tokenlerini kullanarak 760 şirketten 1,5 milyardan fazla Salesforce rekoru çaldığını iddia ediyor.
Geçtiğimiz yıl, tehdit aktörleri Salesforce örneklerini ihlal etmek ve veri indirmek için sosyal mühendislik ve kötü amaçlı OAuth uygulamalarını kullanarak Salesforce müşterilerini veri hırsızlığı saldırılarında hedefliyorlar. Çalınan veriler daha sonra şirketleri, verilerin kamuya sızmasını önlemek için bir fidye ödemeye zorlamak için kullanılır.
Bu saldırılar, tehdit aktörleri tarafından Shinyhunters, dağınık örümcek ve Lapsus $ gasp gruplarının bir parçası olduklarını belirten iddia edildi. Google bu etkinliği UNC6040 ve UNC6395 olarak izler.
Mart ayında, tehdit aktörlerinden biri, şirket için özel kaynak kodunu içeren Salesloft’un GitHub deposunu ihlal etti.
Shinyhunters, BleepingComputer’a tehdit aktörlerinin Sırlar için kaynak kodunu taramak için Trufflehog güvenlik aracını kullandıklarını söyledi, bu da Salesloft Drift ve Drift e -posta platformları için OAuth tokenlerinin bulunmasına neden oldu.
SalesLoft Drift, Drift AI sohbet aracısını bir Salesforce örneğiyle birleştiren ve kuruluşların konuşmaları, potansiyel müşterileri ve destek vakalarını CRM’lerine senkronize etmelerini sağlayan üçüncü taraf bir platformdur. Drift e -posta, e -posta yanıtlarını yönetmek ve CRM ve pazarlama otomasyon veritabanlarını düzenlemek için kullanılır.
Bu çalıntı sürüklenen oauth jetonlarını kullanarak Shinyhunters, BleepingComputer’a tehdit aktörlerinin 760 şirket için “hesap”, “iletişim”, “vaka”, “fırsat” ve “kullanıcı” Salesforce nesne tablolarından yaklaşık 1,5 milyar veri kaydı çaldığını söyledi.
Bu kayıtlardan yaklaşık 250 milyonu hesaptan, 579 milyon temastan, fırsattan 171 milyon, kullanıcıdan 60 milyon ve Salesforce tablolarından yaklaşık 459 milyon kayıt vardı.
Vaka tablosu, teknoloji şirketleri için hassas veriler içerebilen bu şirketlerin müşterileri tarafından gönderilen destek biletlerinden bilgi ve metin depolamak için kullanıldı.
Saldırının arkasında olduklarının kanıtı olarak, tehdit oyuncusu ihlal edilen Salesloft Github deposundaki kaynak kodu klasörlerini listeleyen bir metin dosyasını paylaştı.
BleepingComputer, bu kayıt sayısı ve etkilenen toplam şirket sayısı hakkında sorularla Salesloft ile temasa geçti, ancak e -postamıza yanıt almadı. Ancak, bir kaynak sayıların doğru olduğunu doğruladı.
Google Tehdit İstihbaratı (Mantiant), çalınan vaka verilerinin, saldırganların daha fazla saldırı için diğer ortamlara dönmesini sağlamak için kimlik bilgileri, kimlik doğrulama jetonları ve erişim anahtarları gibi gizli sırlar için analiz edildiğini bildirdi.
Google, “Veriler ortaya çıktıktan sonra, aktör kurban ortamlarından ödün vermek için kullanılabilecek sırları aramak için verileri aradı.”
“GTIG, Amazon Web Services (AWS) Erişim Anahtarları (AKIA), şifreler ve kar tanesi ile ilgili erişim belirteçleri gibi hassas kimlik bilgilerini hedefleyen UNC6395’i gözlemledi.”
Çalıntı Drift ve Drift e-posta jetonları, Google, Cloudflare, Zscaler, Tenable, Cyberark, Elastik, BeyondTrust, ProofPoint, Jfrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks ve daha fazlası dahil olmak üzere büyük şirketlerde büyük ölçekli veri hırsızlığı kampanyalarında kullanıldı.
Bu saldırıların hacmi nedeniyle, FBI kısa süre önce UNC6040 ve UNC6395 tehdit aktörleri hakkında bir danışmanlık uyarısı yayınladı ve IOC’leri saldırılar sırasında keşfedilen paylaştı.
Geçen Perşembe günü, dağınık örümceğin bir parçası olduğunu iddia eden tehdit aktörleri, “kararmayı” ve telgraf üzerindeki operasyonları tartışmayı bırakmayı planladıklarını belirtti.
Bir ayrılık görevinde, tehdit aktörleri, veri talepleri vermek için kolluk kuvvetleri ve arka plan kontrolleri yapmak için kullanılan FBI Echeck platformu tarafından kullanılan Google’ın Kolluk Talep Sistemini (LERS) ihlal ettiğini iddia etti.
Bu iddialar hakkında Google ile iletişime geçtikten sonra şirket, LERS platformuna hileli bir hesap eklendiğini doğruladı.
Google, BleepingComputer’a verdiği demeçte, “Sistemimizde kolluk kuvvetleri talepleri için hileli bir hesap oluşturulduğunu ve hesabı devre dışı bıraktığını belirledik.” Dedi.
Diyerek şöyle devam etti: “Bu hileli hesapla herhangi bir istek yapılmadı ve veriye erişilmedi.”
Tehdit aktörleri emekli olduklarını belirtirken, Reliaquest’ten araştırmacılar, tehdit aktörlerinin Temmuz 2025’te finansal kurumları hedeflemeye başladığını ve saldırılar yapmaya devam edeceğini bildiriyorlar.
Bu veri hırsızlığı saldırılarına karşı korumak için Salesforce, müşterilerin çok faktörlü kimlik doğrulamasını (MFA) etkinleştirmek, en az ayrıcalık ilkesini uygulamak ve bağlı uygulamaları dikkatlice yönetmek de dahil olmak üzere güvenlik en iyi uygulamalarını takip etmelerini önerir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.