Finansal olarak motive olmuş tehdit grubu Shinyhunters, Haziran 2024’teki üye tutuklamalarının ardından bir yıllık göreceli sessizliğin ardından perakende, havacılık ve sigorta gibi sektörlerde yüksek profilli işletmelerde Salesforce örneklerini hedefleyen sofistike bir dizi saldırı ile geri döndü.
Reliaquest’in analizi, bilet temalı kimlik avı alanlarının koordineli bir altyapısını ve bilet-lvmh gibi kimlik bilgisi hasat sayfalarının[.]com ve pano-Salesforce[.]com, Cloudflare maskeli ad sunucuları ve geçici tescil ettiren e-postaları ile GDO Internet üzerinden kayıtlı.
Bu alan adları, saldırganların kötü niyetli bağlantılı uygulamalara izin vermek için BT desteğini taklit ettiği vishing kampanyalarını kolaylaştırmak için “Bilet Portalım” olarak yeniden markalanan Salesforce Data Loader gibi meşru araçları taklit eden Okta markalı kimlik avı yemini barındırıyor.
Bu, Mullvad VPN Obfuscation ve müteakip gasp yoluyla kimlik hırsızlığı, API özellikli veri eksfiltrasyonunu sağlar.
Hareketsizlikten sonra yeniden canlanma
Taktikler, Shinyhunters’ın gizli bir veritabanı sömürüsü ve kimlik bilgisi hırsızlığı üzerine geleneksel odaklanmasından, hedefli Vishing, MFA yorgunluk sömürüsü ve sso-comsany gibi alan taklit etme modelleri de dahil olmak üzere dağınık ayırt edici sosyal mühendislik yöntemleriyle yakından uyumlu bir şekilde ayrılmaya işaret ediyor.[.]com.
Durumsal kanıtlar, örtüşen kampanyalar ve paylaşılan altyapı ile belirtildiği gibi, muhtemelen Temmuz 2024’e kadar uzanan, parıltılı ve dağınık örümcek arasındaki potansiyel bir ittifaka işaret ediyor.
Bir Breachforums kullanıcı takma adı “sp1d3rhunters” Grupların isimlerinin bir portmanteau Mayıs 2024’te ortaya çıktı ve daha önce Shinyhunters’a atfedilen Ticketmaster verileri sızdırırken, Telegram aynı takma adlardan gelen iddialar “aynı olduğunu” iddia ediyor.
Sektör Hedefleme Öngörüleri
Domain kayıt kalıpları bunu daha da desteklemektedir, 2025’te 700’den fazla taklit alan, dağınık örümcek formatlarını taklit ederek, hedefleri profesyonel, bilimsel ve teknik hizmetlerden (PST’lerden) Temmuz ayından bu yana finansal hizmetlerde% 12 artışa kaydırır ve teknoloji sağlayıcılarına sürekli hitlerdir.
ABD, yüksek değerli teknoloji firmalarının konsantrasyonu nedeniyle bu alanların çoğunluğunu içeren birincil hedef olmaya devam ediyor ve Q2 2025 kurbanlarının% 67’sinin ABD tabanlı olduğu fidye yazılımı gibi daha geniş siber suç eğilimlerini yansıtıyor.
Genellikle kısa ömürlü ve SSO Sahtekarlığı için kimlik avı kitlerine bağlı olan bu alanlar, devam eden Salesforce kampanyaları, “bilet”, “Okta” veya “Yardım Masası” gibi anahtar kelimelerle şirket veya SaaS adları ile birleştirilmiş (örn. Şirket-Salesforce[.]com) erken göstergeler olarak hizmet vermek.
Potansiyel olarak SIM-Swapping, Hesap Devralmaları ve Kripto para hırsızlığı ile bilinen daha geniş “Com” kolektifi altında bu şüpheli işbirliği, geleneksel savunmalardan kaçan hibridize TTP’ler aracılığıyla tehdidi güçlendiriyor.
Kuruluşlar, ilişkilendirme, anormal API aktivitesi için izleme, IP algılama işlemlerinin uygulanması ve “bağlı uygulamaları yönet” gibi izinleri kısıtlamaya öncelik vermelidir.
Reliaquest’in GreyMatter DRP’si, oturum fesih, şifre sıfırlamaları, ana bilgisayar taramaları ve kullanıcı devre dışı bırakma için otomatik oynatma kitapları, (MTTC) ortalama süreyi (MTTC) saatlerden dakikalara indirir.
Azalanma, Vishing simülasyonları yoluyla sosyal mühendisliğe karşı sertleştirmek, MFA’yı yorgunluk farkındalık eğitimi ile zorunlu kılmak ve GDO Internet gibi kayıt şirketleri veya PrivacyGuardian gibi gizlilik hizmetleri için sorgu alan adı istihbaratını sorgulamak.
Shinyhunters yakında forumlardaki sızıntıları tanıtabildiğinden, finans ve teknoloji sektörleri artan riskle karşı karşıya kalır ve bu uyarlanabilir, İngilizce konuşan rakiplere karşı proaktif TTP odaklı savunmalara duyulan ihtiyacı vurgular ve veri para kazanma ve bozulma için SaaS güvenlik açıkları.
AWS Security Services: 10-Point Executive Checklist - Download for Free