Kötü şöhretli Shinyhunters siber suçlu grubu, Google gibi yüksek profilli kurbanlar da dahil olmak üzere büyük organizasyonlarda Salesforce platformlarını hedefleyen sofistike yeni bir saldırı dalgası ile bir yıl süren aradan ortaya çıktı.
Bu yeniden canlanma, geleneksel olarak şu anda kullanılmakta olan karmaşık sosyal mühendislik planlarından ziyade veritabanı sömürüsü ve kimlik bilgisi hırsızlığına odaklanan finansal olarak motive olmuş tehdit aktörleri için önemli bir taktiksel evrimi işaret ediyor.
Bu kampanyayı özellikle endişe verici kılan şey, tipik olarak dağınık örümcek hackleme kolektifine atfedilen operasyonlara benzerliğidir.
Taktiklerin yakınsaması, bu iki müthiş tehdit grubu arasında potansiyel bir işbirliği olduğunu ve koordineli siber suçlu faaliyetin artan bir manzarasıyla ilgili endişeleri gündeme getiriyor.
Saldırılar, perakende, havacılık ve sigorta sektörlerinde kuruluşları özel olarak hedef aldı ve kurbanlar lüks markaları ve teknoloji hizmet sağlayıcılarını kapsıyor.
.webp)
Reliaquest analistleri, kapsamlı alan analizi ve altyapı soruşturması yoluyla bu işbirliği teorisini destekleyen zorlayıcı kanıtlar belirlediler.
Araştırma, koordineli bilet temalı kimlik avı alanlarını ve Salesforce kimlik bilgisi hasat sayfalarını ortaya çıkardı ve bu da mağdur hedeflemeye sistematik bir yaklaşım gösterdi.
En önemlisi, araştırmacılar, önceki Shinyhunters ihlalleriyle bağlantılı olan ve Temmuz 2024’te Ticketmaster verilerini sızdıran “SP1D3Rhunters” takma adıyla bir Breachforums kullanıcısının ortaya çıktığını keşfettiler.
Bu saldırıların teknik karmaşıklığı, Shinyhunters’ın tarihsel yöntemlerinden önemli bir ayrılmayı temsil etmektedir.
Grup, saldırganların kurbanları kötü niyetli “bağlı uygulamalara” yetkilendirmeye yönlendirmek için BT destek personelini taklit ettiği yüksek hedefli Vishing kampanyaları da dahil olmak üzere dağınık örümcek imza tekniklerini benimsedi.
Bu uygulamalar, büyük ölçekli veri püskürtme sağlarken meşru Salesforce araçları olarak maskelenir.
Gelişmiş altyapı ve kaçınma teknikleri
Kampanyanın altyapısı, titiz planlama ve gelişmiş kaçırma yeteneklerini ortaya koyuyor.
Müfettişler, 20-30 Haziran 2025 arasında kaydedilen birden fazla kötü amaçlı alan adını ortaya çıkardılar. ticket-lvmh.com– ticket-dior.comVe ticket-louisvuitton.com.
Bu alanlar, GDO Internet aracılığıyla kayıt dahil olmak üzere ortak kayıt defteri özelliklerini paylaştı. [email protected] ve ek şaşkınlık için Cloudflare maskeli ad vericiler.
.webp)
Saldırganlar, tek oturum açma (SSO) oturum açma sayfalarını barındıran sofistike kimlik avı kitlerini konuşlandırdı, dashboard-salesforce.com aktif olarak OKTA markalı kimlik bilgisi hasat arayüzleri.
.webp)
Kötü niyetli altyapı, Mullvad VPN hizmetleri aracılığıyla VPN’yi tehlikeye attı.
Özellikle, meşru Salesforce “veri yükleyicisi” uygulamalarının, vishing kampanyaları sırasında “bilet portalım” olarak yeniden markalanması ve grubun şüphesiz çalışanlara karşı tanıdık iş araçlarını silahlandırma yeteneğini göstermesi.
Bu taktik evrim, hem Shinyhunters hem de dağınık örümcek operasyonlarında gözlemlenen senkronize hedefleme modelleri ile birleştiğinde, finansal hizmetler ve teknoloji sağlayıcılarının önümüzdeki aylarda yoğun saldırılara hazırlanması gerektiğini göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.