Yeni bulgular, Salesforce müşterilerini hedefleyen devam eden bir veri gasp kampanyası, şinatçılar ve dağınık örümcek el ele çalışıyor gibi göründüğü için dikkatini finansal hizmetler ve teknoloji hizmet sağlayıcılarına çevirebilir.
Reliaquest, Hacker News ile paylaşılan bir raporda, “Bu son Shinyhunters tarafından atıfta bulunulan saldırılar dalgası, taktiklerde dramatik bir değişim gösteriyor, grubun önceki kimlik hırsızlığı ve veritabanı sömürüsünün ötesine geçiyor.” Dedi.
Bunlar, yüksek düzeyde hedeflenmiş Vishing (diğer adıyla sesli kimlik avı) ve sosyal mühendislik saldırıları gibi dağınık örümceklerinkini yansıtan taktiklerin benimsenmesi, meşru araçlar olarak maskelenen uygulamalardan yararlanmayı, kurbanları VEŞTİRİM sırasında VPN girişleri için takviye etmek için okta temalı kimlik avı sayfalarını kullanmayı ve verilerin varlıklarını kullanmayı içerir.
İlk olarak 2020’de ortaya çıkan Shinyhunters, büyük şirketleri hedefleyen ve raidforumlar ve ihlaller gibi siber suç forumlarında para kazanan bir dizi veri ihlali düzenleyen finansal olarak motive olmuş bir tehdit grubudur. İlginç bir şekilde, Shinyhunters Persona bu platformlarda hem katkıda bulunan hem de yönetici olarak önemli bir katılımcı olmuştur.
Sophos, “Shinyhunters Persona, Haziran 2023’te Breachforums’un (V2) ikinci örneğini yeniden başlatmak için Baphomet ile ortaklık kurdu ve daha sonra sadece Haziran 2025 örneğini (V4) başlattı.” “Geçici versiyon (V3) Nisan 2025’te aniden kayboldu ve neden belirsiz.”
Forumun yeniden başlatılması kısa ömürlü olsa da ve bülten kurulu 9 Haziran’da çevrimdışı olsa da, tehdit aktörü o zamandan beri, Google’ın UNC6240 takma takma işlemi altında izlediği gaspla ilgili bir faaliyet kümesi olan Salesforce örneklerini hedefleyen saldırılara bağlandı.
Bu gelişmelerle çakışan, Fransız kolluk kuvvetleri tarafından Shinyhunters da dahil olmak üzere ihlalleri yürütmekten şüphelenilen dört kişinin tutuklanmasıydı. Bununla birlikte, tehdit oyuncusu Databreaches.net’e “Fransa’nın yanlış, yanlış tutuklamalar yapmak için koştuğunu” söyledi ve bir “ortak” üyenin yakalanmış olma olasılığını artırdı.
Ve hepsi bu değil. 8 Ağustos’ta, Shinyhunters, dağınık örümcek ve “dağınık Lapsu $ avcıları” olarak adlandırılan yeni bir telgraf kanalı, kanal üyeleri de Ransomware-a-hizmet olarak bir hizmet çözümü geliştirdiğini iddia ediyorlar. Üç gün sonra kanal kayboldu.
Hem dağınık örümcek hem de Lapsus $, SIM değiştirme, gasp ve fiziksel suç dahil olmak üzere çok çeşitli kötü niyetli aktivitelere katıldığı bilinen deneyimli İngilizce konuşan siber suçlardan oluşan kötü şöhretli bir ağ olan daha geniş, belirsiz bir kolektifle bağlara sahiptir.
Reliaquest, çeşitli endüstri sektörlerinde yüksek profilli şirketleri hedefleyen Salesforce’u hedefleyen benzer kampanyalar için oluşturulan koordineli bir dizi bilet temalı kimlik avı alanları ve Salesforce kimlik bilgisi hasat sayfaları belirlediğini söyledi.
Şirket, bu alanların, tipik olarak tek oturum açma (SSO) oturum açma sayfalarına ev sahipliği yapmak için yaygın olarak kullanılan kimlik avı kitleri ile ilişkili altyapı kullanılarak kaydedildiğini söyledi-Dağınık Örümcek Saldırılarının Saldırı Saldırı Saldırıları.
Ayrıca, 2025 yılında kayıtlı dağınık örümcek kimlik avı kalıplarıyla eşleşen 700’den fazla alan adının bir analizi, finans şirketlerini hedefleyen alan kayıtlarının Temmuz 2025’ten bu yana% 12 arttığını, teknoloji firmalarının hedeflenmesinin% 5 azaldığını ortaya koydu, bu da bankaların, sigorta şirketlerinin ve finansal hizmetlerin bir sonraki hatta olabileceğini düşündürmektedir.
Taktik, iki grubun işbirliği yapabileceği bir yana, aynı sektörleri (yani perakende, sigorta ve havacılık) hedefledikleri gerçeğiyle ortaya çıkıyor.
Araştırmacılar Kimberley Bromley ve Ivan Righi, “Bu teoriyi bir Breachforums’un kullanıcısının kullanıcısının, geçmiş bir Shinyhunters ihlali ile bağlantılı olan ‘SP1D3Rhunters’ ile bağlantılı olan ve örtüşen alan kayıt kalıpları gibi kanıtlardır.”
“Bu bağlantılar meşru ise, Shinyhunters ve dağınık örümcek arasındaki işbirliğinin veya örtüşmesinin bir yıldan fazla sürdüğünü öne sürüyorlar. Bu önceki saldırıların senkronize zamanlaması ve benzer hedeflemesi, iki grup arasındaki koordineli çabaların olasılığını güçlü bir şekilde destekliyor.”