Sosyal mühendislik yoluyla kullanıcıların Salesforce örneklerine karşı düzenlenen siber saldırılar kampanyası, artık Shinyhunters siber suç çetesine artan güvenle ilişkilendiriliyor ve kurbanların listesi gün geçtikçe büyüyor gibi görünüyor.
Bugüne kadar, bu saldırılarla çok fazla tehlikeye atılan kuruluşlar bağlantılıdır. Bunların arasında Adidas dahil moda markaları; LVMH markaları Dior, Louis Vuitton ve Tiffany & Co; Mücevher şirketi Pandora, Allianz gibi sigorta şirketleri ve Qantas ve Air France-KLM gibi havayolları.
Teknoloji sektörü bile Shinyhunters’ın “duygularına” karşı bağışık değildir. Google ayrıca, operasyon tarafından vurulduğunu bildirdi ve 5 Ağustos’ta kurumsal Salesforce örneklerinden birinin ihlal edildiğini ve alınan küçük ve orta ölçekli işletme (KOBİ) müşterileri hakkındaki verilerin alındığını açıkladı-ancak bu, çoğunlukla işletme adları ve iletişim numaraları gibi kamuya açık bir iş bilgileri idi.
Shinyhunters kimler ve ne istiyorlar?
Nisan 2025’ten bu yana, İngilizce konuşan hackleme kolektif dağınık örümcek tarafından düzenlenen cüretkar bir dizi siber saldırı-özellikle çetenin yüksek cadde stalwart Marks & Spencer (M&S) sistemlerini ihlal ettiği bir olay-sosyal mühendislik saldırılarını ana dikkat gösterdi.
Tehdit Intel topluluğunun siber olayları kesin olarak atfetmesini sağlayan kanıtlar olmasa da, bir dizi Shinyhunters saldırısı, dağınık örümcek ile spekülatif olarak ilişkilendirilmişti. Ancak dağınık örümceğin sosyal mühendislik konusunda bir tekeli yoktur ve bu kampanyadaki delil gövdesi, Shinyhunters’a daha sıkı bir şekilde işaret ederek, bu grup hakkında daha fazla şey öğrenmeye değer.
Shinyhunters çetesi, 2020’de bir hack ve sızıntı operasyonu olarak oluşuyor gibi görünüyor, milyonlarca çalıntı rekoru kamu malı içine besliyor. Bu hedefin ötesindeki hedefleri belirsizdir, ancak grup şimdi açıkça açıkça gasp halinde dallanmaktadır.
Talep edilen veya onaylanan tarihi Shinyhunters kurbanları AT&T Wireless, Microsoft, Santander ve Ticketmaster’ı içerir. Bu kurbanların birçoğu, bulut veri yönetimi platformu kar tanesi ile tutulan teminatsız hesapların kötüye kullanılması yoluyla ihlal edildi. Bunun, sadece ürün ve hizmetlerinin güvenli olmayan kullanımı nedeniyle, kar tanesinin kendisinin ihlal edildiğine dair kanıt olmadığını unutmayın.
Shinyhunters ayrıca meşhur Breachforums veri sızıntı forumunun çeşitli enkarnasyonlarıyla bağlantılıdır. Bu özel hikayedeki en son gelişme, ABD yetkilileri tarafından Intelbroker olarak bilinen önde gelen bir hacker olan, Kai West adında 25 yaşındaki bir İngiliz vatandaşı olduğu ve Fransa’da Shinyhunters ile ilişkili diğerlerinin eşzamanlı tutuklamaları olduğu için Haziran 2025 iddianamesiydi.
İlginç bir şekilde, Google Tehdit İstihbarat Grubu (GTIG), her iki çete de COM ile ilişkilendirme kanıtı gösterdiğinden, Shinyhunters ve Dağınık Örümcek’in bazı perde arkası bağlantılarını paylaşabileceğini değerlendiriyor.
COM, birden fazla farklı ve genellikle rakip grup içeren daha geniş bir hack halkasıdır. FBI’a göre, Discord ve Telegram gibi çeşitli forumlarda organize ediliyor ve birçoğu muhtemelen küçük olan üyeleri, çeşitli siber suçluluk biçimlerine katılıyor.
GTIG, COM ile bağları olan gruplar tarafından yürütülen çoklu siber saldırılarda kullanımda kullanılan çeşitli saldırgan kontrollü altyapı unsurlarını ve üst üste binen taktikleri (özellikle sosyal mühendislik), Okta kimlik bilgilerinin hedeflenmesi ve çok menfaatli organizasyonlarda İngiliz konuşan kullanıcıları mağdur etmesine odaklandı-Spider ve Shinyhters’ın tüm kamışları.
GTIG’ye göre, dağınık örümcek ve parıltılı arasında doğrudan işbirliği önermek yerine, aynı çekirdek toplulukta faaliyet gösteren ilişkili aktörler arasında bu benzerliklerin ortaya çıkması mantıklıdır.
Sosyal mühendislik nedir?
Sosyal mühendislik, hedeflenen kurbanların işverenlerinin sırlarına çeşitli yollarla erişimden vazgeçmeye ikna oldukları denenmiş ve test edilmiş bir hack tekniğidir.
Yaygın olarak kullanılan sosyal mühendislik yöntemleri, alıcılarını kötü amaçlı yazılım veya fidye yazılımı gibi tehlikeli bir şey indirmeye çalışan veya BT sistem kimlik bilgileri gibi hassas bilgiler sağlamaya çalışan hedefli kimlik avı e -postalarını içerir.
Diğer sosyal mühendisler hedeflerini oynamak için bahaneler yaratacaklar. Gördüğümüz gibi, dijital alemde genellikle yardım masalarını veya destek hizmetlerini taklit ederler ya da gerçek dünya dolandırıcıları tarafından kullanılan klasik bir yem ve anahtar tekniği olan ilgiyi arttırmak için-genellikle doğru olamayacak kadar iyi görünen bir şey sunabilirler.
Sosyal mühendislik sadece BT ve siber güvenliğin bayrağı altında dolu değil, bilgi yaşından çok önce. İnsanlık tarihi boyunca dolandırıcılar sosyal mühendislik tekniklerini kullandılar. Efsane çağında, antik Yunanlılar Troy’un kapılarında büyük bir tahta at bıraktıklarında, Truva atlarının onu cömert bir barış teklifi olarak kabul edeceğine bahse giriyorlardı. Bu başka bir sosyal mühendislikten başka ne?
Nihayetinde, sosyal mühendislik başarılı olur, çünkü bir dizi altta yatan insan özelliklerinden yararlanır. Başkalarına güvenmek ve yardımcı olmak istiyoruz, korku veya aciliyet uyandıran ve ruhlarımızın daha rasyonel kısımlarını atlamamıza neden olan koşullara duyarlıyız, meraklı ve açgözlü hayvanlarız ve otorite pozisyonunda görünen insanlara – bir BT destek ajanı gibi belli bir saygı duyma eğilimindeyiz.
Dolayısıyla, hedefinizin savunmalarından kaçınmak için bir taktik olarak, sosyal mühendislik bir kazanır.
Shinyhunters kurbanlarına nasıl saldırıyor?
Mevcut Shinyhunters kampanyasını çevreleyen kesin atıfta bazı zorluklar olmuştur – keşfedeceğimiz gibi – ancak gerçekler, son birkaç ay içinde geniş bir şekilde başladığını gösteriyor, ancak GTIG, bir tehdit oyuncusunun satış kuvveti verisi uygulamasıyla bir dizi siber saldırıyı bildirdiği Haziran ayında daha geniş bir dikkat çekti.
Salesforce Veri Yükleyicisi, veri kayıtlarının toplu içe aktarılması veya dışa aktarılmasını desteklemek için tasarlanmış bir istemci uygulamasıdır, bu nedenle, sağladığı değerli bilgilere erişim göz önüne alındığında, neden siber suçlular tarafından hedefleneceğini görmek kolaydır.
GTIG tarafından açıklanan saldırılarda, tehdit aktörleri, BT destek personelini telefon görüşmesinde taklit ederek hedeflerinin sistemlerini ihlal etti. Bu teknik, ses kimlik avı olarak bilinen bir sosyal mühendislik saldırısıdır – ya da basitçe Vushing.
Aramalar sırasında kurbanlar belirgin bir açık Salesforce sorunu hakkında bilgilendirildi ve bağlı uygulamalar için resmi Salesforce sayfasına yönlendirildi. Arayan daha sonra, tehdit aktörü tarafından kontrol edilen veri yükleyicisinin kötü niyetli, truva atışlı bir sürümünü kuruluşlarının Salesforce portalına bağlamalarını söyledi. Altyapısı, kurbanları mobil cihazlardan veya iş bilgisayarlarından ziyaret etmek için tasarlanmış bir OKTA kimlik avı paneline ev sahipliği yaptı.
Erişim elde edildiğinde, tehdit oyuncusu, hassas verileri doğrudan kurbanlarının Salesforce ortamlarından sorgulamak ve söndürmek için Veri Yükleyici Uygulama Programlama Arayüzünü (API) kullanabildi. GTIG, çetenin verilere erişmek ve bunları sunmak için meşru Mullvad Sanal Özel Ağ (VPN) hizmetine bağlı IP adreslerinin kullanıldığını bildirdi.
Çete ayrıca özel uygulamaların kullanıldığı gözlemlenmiştir – tipik olarak veri yükleyicisine benzer şekilde çalışan Python komut dosyaları ve TOR anonimleştirme hizmeti aracılığıyla verileri, izlemeyi ve ilişkilendirmeyi zorlaştırmak için tasarlanabilecek bir taktik aracılığıyla.
GTIG ayrıca grubun, webmail hizmetleri aracılığıyla kurulan Salesforce deneme hesaplarını kullanmaktan uzaklaştığını gözlemledi.
Siber saldırının son aşamalarında, siber suçlular kurbana gasp talebi ile yaklaşıyor – tipik olarak 72 saat içinde bitcoin ödemesi. Bazı durumlarda, GTIG, verileri söndürdükleri ve yaklaşımlarını yaptıkları nokta arasında bir aydan fazla geçtiğini söyledi.
Bu boşluk, daha geniş COM ağındaki geçiş veya işbirliğinin bir göstergesi olabilir; GTIG, ilk saldırı aktivitesini UNC6040 olarak etiketlenmiş bir gruba ve gasp etkinliğini, “sürekli olarak” Shinyhunters olduğu iddia edilen UNC6240 olarak etiketlenen bir gruba bağladı. Bu, çalınan verilerden para kazanmak için iki ayrı grup arasındaki bir ortaklığı gösterebilir, ancak sağlam bir kararlılık yapmak için yeterli kanıt yoktur.
GTIG ayrıca, Shinyhunters’ın kurbanları üzerindeki baskıyı artırmak için bir veri sızıntı sitesi başlatarak kampanyasını artırmaya hazırlanabileceğini öne sürdü.
Salesforce bu konuda ne yapıyor?
Ürün ve hizmetlerinin Shinyhunters saldırılarında kullanılmasına rağmen, Salesforce’un suçlanacak hiçbir şekilde olmadığının farkında olmak çok önemlidir. İntranslar, bildirilen herhangi bir başarısızlığın veya yazılımındaki herhangi bir sıfır günlük güvenlik açığının sonucu değildir.
Salesforce, Shinyhunters’a akredite edilmiş farklı saldırıların hiçbirini yorumlamamıştır – bunu açıkça yapmak, gelecekte yasal sorunları davet edebilir – ancak kullanıcılarına yönelik rehberliğini çevrelerini koruma konusunda tekrar teyit etmiştir. Bu rehberliğin önsözünde, yazılım evi Salesforce’un bazı durumlarda truva atı veri yükleyici uygulamasının kullanımını kabul ettiğini kabul etti.
“Siber güvenlik, bir sağlayıcı ve müşterileri arasında ortak bir sorumluluktur” diye yazdı firmanın siber ekibi. “Salesforce, platformumuzun her bölümüne kurumsal sınıf güvenlik oluştururken, müşteriler verilerini korumada hayati bir rol oynamaktadır-özellikle de Salesforce müşterilerini hedefleyen sofistike sosyal mühendislik ve kimlik avı saldırılarındaki son artışın ortasında.”
Şimdi hangi adımları atabilirim?
Genel olarak, Salesforce’un müşteri ortamlarını Shinyhunters tehdidine karşı koruma konusundaki rehberliği, daha geniş siber güvenlik en iyi uygulamalarından ve yerleşik rehberlikten yararlanır.
Yazılım devi, müşterilerinin daha önce yapmadılarsa, atabileceği ve atması gereken beş temel adım belirledi:
- Salesforce müşterileri, tanımlanamayan veya güvensiz IP’lerin açıkça erişimin reddedildiğinden veya en azından zorlandığından emin olmak için giriş IP aralıklarını işletme ve VPN ağlarına kısıtlayarak başlamalıdır. Koşullar bunu gerektiriyorsa, yöneticiler de profil düzeyinde giriş IP adreslerini kısıtlamak isteyebilir, yani tek tek kullanıcılar yalnızca izin verilen IP adreslerinden giriş yapabilirler.
- Yöneticiler, kullanıcılara yalnızca işlerini gerçekleştirmek için ihtiyaç duydukları izin verildiği, hassas bilgilere erişimini sınırlandıran en az ayrıcalık (POLP) yönergeleri ilkesine uymalıdır – İK’daki birisinin satış veya pazarlama verilerine ihtiyaç duymasının bir nedeni yoktur. Rehberliği, yöneticilerin bu şemsiye altında atabileceği çeşitli adımlar belirler, ancak veri yükleyicisi ile ilgili olarak, özellikle kayıtları toplama, güncelleme veya silme kayıtlarına izin verilen kullanıcı sayısı kısıtlanmalıdır.
- Yöneticiler elbette MFA’yı kurmalı ve uygulamalıdır. Tehdit aktörleri sosyal mühendislik yoluyla yenebilse bile, özellikle PurePlay kimlik avı saldırılarına karşı yararlı bir ekstra savunma katmanı olmaya devam ediyor.
- Yöneticiler, etkinlik izleme, tehdit algılama, işlem güvenlik politikası yönetimi ve veri yönetimi gibi özellikleri içeren Salesforce’un tescilli Shield Security Tool paketini keşfetmeyi düşünebilirler.
- Son olarak, Salesforce tüm imza ve premier düzeyli müşterilerin özel bir güvenlik kişisine sahip olmasını önerirken, standart kullanıcılar mevcut bir Sysadmin’i korumaya teşvik edilir, böylece ekipleri bir olayı tanımlaması durumunda doğru kişiye ulaşabilir.