Google Tehdit İstihbarat Grubu (GTIG) tarafından izlenen finansal olarak motive olmuş tehdit kümesi UNC6040, özellikle çokuluslu şirketlerin satış kuvveti ortamlarından ödün vermeyi amaçlayan bir dizi sesli kimlik avı (Vishing) kampanyasını düzenliyor.
Yazılım güvenlik açıklarından yararlanan geleneksel siber saldırılardan farklı olarak, UNC6040 tamamen insan davranışını manipüle etmeye dayanır, BT destek personelini İngilizce konuşan dallarda ağırlıklı olarak erişim sağlamak veya hassas kimlik bilgilerini paylaşmak için kandırmak için destek personelini taklit eder.
Bu yaklaşım, Salesforce örneklerinden büyük ölçekli veri hırsızlığını kolaylaştırmıştır ve çalınan bilgiler daha sonra ilk ihlalden aylar sonra gasp için kullanılmıştır.
.png
)
Sofistike sesli kimlik avı taktikleri
Kampanyanın başarısı, BT rollerini değerli işletme verilerine bir kapı olarak destekleyen tehdit aktörlerinin artan bir eğiliminin altını çizerek bulut ortamlarında güçlü kullanıcı farkındalığı ve güvenlik kontrolleri için kritik ihtiyacı vurgulamaktadır.
UNC6040’ın birincil taktiği, kurbanları, vishing çağrıları sırasında Salesforce’un meşru veri yükleyici aracının değiştirilmiş bir sürümünü olan kötü niyetli bir bağlı uygulamaya yetkilendirmeyi kandırmayı içerir.
Şüphesiz çalışanları Salesforce Connected Uygulama Kurulum sayfasına yönlendirerek ve bunları bazen “bilet portalım” saldırganları sorgulara kapsamlı erişim elde ettikçe ve doğrudan tehlikeye atılan ortamdan sorgulamak ve eksfiltrat yapmak için aldatıcı bir uygulamayı onaylamaya ikna ederek.
OAuth entegrasyonu yoluyla toplu veri operasyonlarını doğal olarak destekleyen veri yükleyicisinin bu kötüye kullanılması, doğal bir Salesforce güvenlik açığından yararlanmaz, daha ziyade insan hatasından yararlanır.
Kötü niyetli veri yükleyici uygulamalarından yararlanmak
GTIG, tüm veri tablolarının hızlı, büyük ölçekli bir şekilde eksfiltrasyonundan önce temkinli test sorgularını içeren bazı müdahaleler ile veri çıkarma işleminde değişen karmaşıklık seviyelerini bildirirken, diğerleri erken tespit edildi ve hırsızlığı hedeflenen bilgilerin bir kısmıyla sınırlandırdı.
Buna ek olarak, UNC6040, Microsoft 365 gibi bulut platformlarında daha fazla kimlik bilgisi hasadı ve yanal hareket için Mullvad VPN IPS ve OKTA kimlik avı panelleri gibi altyapı kullanır ve ihlallerinin kapsamını yükseltir.
İlginç bir şekilde, “com” kolektifine bağlı gruplarla taktik ve altyapıdaki örtüşüyor, ancak doğrudan operasyonel bağlantılar belirsizliğini koruyor.
Bazen kötü şöhretli Shinyhunters grubuyla olan bağlılık iddialarıyla bağlantılı gecikmiş gasp girişimleri, çalınan verilerden para kazanan ikincil aktörlerle olası işbirliğini göstererek kurbanlar için tehdit yaşam döngüsünü genişletir.
Bu kampanya, özellikle Salesforce gibi bulut tabanlı sistemlere karşı, finansal olarak motive olmuş bir saldırı vektörü olarak VISH’in kalıcı etkinliğini örneklendiriyor.
Bu tür tehditlere karşı koymak için kuruluşlar, özellikle güçlü API izinlerine sahip veri yükleyicisi gibi araçlar için en az ayrıcalık erişimine öncelik vererek derinlemesine bir savunma stratejisi benimsemeli ve katı bağlı uygulama yönetimini uygulaymalıdır.
IP tabanlı erişim kısıtlamalarının uygulanması, evrensel çok faktörlü kimlik doğrulama (MFA) ve anormal veri indirmelerini tespit etmek için Salesforce Shield aracılığıyla gelişmiş izleme de kritiktir.
UNC6040’ın faaliyetlerinin ortaya koyduğu gibi, bulut güvenliğinin ortak sorumluluk modeli sadece platform güvencelerini değil, aynı zamanda bu tür müdahaleleri besleyen insan merkezli riskleri azaltmak için proaktif kullanıcı eğitimi ve politika uygulama talep ediyor.
Etkilenen varlıklar için potansiyel akış aşağı gasp yaklaşırken, sosyal mühendisliğe karşı savunmaları sertleştirme aciliyeti hiç bu kadar büyük olmamıştı.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun