İnsan Kaynakları (İK) platformu sağlayıcısı Workday, muhtemelen Salesforce ürünleri aracılığıyla düzenlenen ve Shinyhunters siber suç kolektifi ile bağlantılı bir siber saldırı dalgasının etkisi olarak, üçüncü taraf bir tedarikçiden kaynaklanan bir siber saldırıya kurban düşen en son büyük organizasyon haline geldi.
16-17 Ağustos hafta sonundan hemen önce yayınlanan bir bildirimde firma, “birçok büyük kuruluşu hedefleyen” bir sosyal mühendislik kampanyasının kurbanı olduğunu söyledi.
Siber haber çıkışı Bapa Bilgisayar Salesforce’a bir bağlantı kurdu. İş günü, ne tehdit aktörü ne de dahil yazılım tedarikçisi olarak adlandırıldı.
“Son zamanlarda Workday’ın hedeflendiğini ve tehdit aktörlerinin üçüncü taraf CRM’mizden bazı bilgilere erişebildiklerini belirledik [customer relationship management] Platform, ”dedi şirket.
“Müşteri kiracılarına veya içindeki verilere erişim göstergesi yok. Erişimi kesmek için hızlı bir şekilde hareket ettik ve gelecekte benzer olaylara karşı korumak için ekstra güvenceler ekledik.
“Aktörün elde ettiği bilgi türü, ilk olarak ad, e -posta adresleri ve telefon numaraları gibi iş iletişim bilgileriydi, potansiyel olarak sosyal mühendislik dolandırıcılıklarını ilerletmek için” diye devam etti.
“Workday’ın bir şifre veya diğer güvenli ayrıntılar istemek için asla telefonla kimseyle iletişime geçmeyeceğini hatırlamak önemlidir. Workday’ın tüm resmi iletişimleri güvenilir destek kanallarımızdan geçer.”
Shinyhunters
Workday sistemlerinin ihlali, son birkaç hafta içinde Adidas, Air France-KLM, Allianz, Google, birden fazla LVMH markası, Pandora ve Qantas’ın beğenileri de dahil olmak üzere, onu, Nisan ayının da dahil olmak üzere, Spring Grubu tarafından benzer bir sirk saldırı dizisi de dahil olmak üzere bir kampanyada, artan sayıda şirket arasında yer alıyor.
Tehdit ilişkilendirme, kötü şöhretsiz bir bilimdir, ancak büyüyen bir kanıt grubu, parıltılı olarak bilinen daha geniş bir yeraltı grubuna paylaşılan bağlantılar aracılığıyla bir şekilde hizalandığını ve aslında Reliaquest’e göre bir ve aynı olabileceğini düşündürmektedir.
Flashpoint’teki araştırmacılar da şimdi bağlantı kuruyorlar ve 15 Ağustos’ta yayınlanan bir brifing belgesinde CRM bağlantılı ihlal dalgasını dağınık örümcekle geçici olarak ilişkilendirecek kadar ileri gidiyorlar.
Bir bağlantı hakkında daha fazla kanıt sunan Flashpoint, dağınık örümceklerin şimdi, “birincil sosyal mühendislik tekniği” olarak ses tabanlı kimlik avı (Vishing) ‘e kaymış gibi göründüğünü de kaydetti, bu da Shinyhunters’ın tercih edilen yöntemlerini yakından yansıtan taktiklerden ayrıldı.
Manipülasyon ve hile
Saldırganların gerçek kimliklerinden bağımsız olarak, mevcut kampanyadaki en son siber saldırı, son ayların en yüksek profilli ve zarar verici veri ihlallerinin çoğunun yazılım güvenlik açıkları yoluyla değil, sıradan çalışanların günlük çalışmalarını sürdüren basit manipülasyon ve hileleriyle ortaya çıktığını vurgulamaktadır.
Huntress güvenlik operasyonlarının kıdemli yöneticisi Dray Agha, bu eğilimin işletmelerin üç temel “pazarlık edilemez” savunmayı benimseme ihtiyacını vurguladığını söyledi.
“OAuth kör noktalarını ortadan kaldırın, üçüncü taraf uygulama entegrasyonları için katı izin vermeyi uygulayın ve bağlantıları düzenli bir aralıklarla gözden geçirin” dedi. “Kimlik avına dirençli MFA’yı benimseyin: ‘MFA yorgunluğu’ saldırıları önemsiz kaldığı için donanım jetonları önemlidir.
“Çok sayıda saldırı sosyal mühendislik, kullanıcıların aldatılmasıyla ve kötü amaçlı yazılımın yürütülmesine kullanıcı kaydı ile başlar – Siber saldırıları reddetmek isteyen herhangi bir kuruluş için etkili güvenlik bilinci eğitimi bir zorunluluktur.”