Google, küçük ve orta ölçekli işletme (SMB) kişilerini yönetmek için kullandığı kurumsal bir Salesforce veritabanının bilinen bir siber suç grubu tarafından tehlikeye atıldığını doğruladı. Shinyhunters olarak tanımlanan saldırganlar, Google tarafından UNC6040 olarak dahili olarak izlendi, Haziran 2025’te veritabanına yetkisiz erişim elde etti.
Salı günü Google’ın Tehdit İstihbarat Grubu (GTIG) tarafından yayınlanan bir blog yayınında, şirket saldırganların ihlal edilmeden önce “iş adları ve iletişim bilgileri gibi temel ve büyük ölçüde kamuya açık iş bilgilerini” alabildiğini belirtti. Veriler, SMB katılımını yönetmek için kullanılan Google’ın dahili Salesforce örneklerinden birinde saklandı.
Saldırı Yöntemi: Sesli Kimlik Avı ve Veri Yükleyici Kötüye Kullanımı
İhlal, Salesforce platformundaki teknik bir güvenlik açığından kaynaklanmadı, ancak Voice Phishing (Vishing) taktikleri tarafından etkinleştirildi. Saldırganlar BT personelini taklit etti ve çalışanları aradı ve onları kuruluşlarının Salesforce ortamında kötü niyetli bir başvuru yetkisi vermeye ikna etti.
Salesforce’un resmi veri yükleyici aracının değiştirilmiş bir sürümü olan kötü amaçlı uygulama, saldırganların verileri dışarı atmasına izin verdi. Birkaç durumda, saldırganlar başvuruyu “Bilet Portalım” gibi yanıltıcı isimler altında Vishing bahanesiyle uyumlu hale getirdi.
Erişim verildikten sonra, saldırganlar veri toplama sürecini otomatikleştirmek için resmi veri yükleyicisine daha erken güvenen özel Python komut dosyaları kullandı. Bu komut dosyaları meşru Salesforce veri araçlarını taklit etti ve Mullvad gibi TOR veya VPN hizmetleri aracılığıyla çalıştırıldı ve atıfı daha zor hale getirdi.
UNC6040 ve UNC6240’ın ortaya çıkışı
GTIG, bu kampanyanın arkasındaki aktörleri, sosyal mühendislik yoluyla Salesforce ortamlarından ödün vermeye odaklanan finansal olarak motive olmuş bir grup olan UNC6040 olarak tanımladı. İlk veri hırsızlığından sonra, etkilenen kuruluşları hedefleyen gasp girişimlerini başlatan başka bir tehdit kümesi olan UNC6240 gözlemlenmiştir. Bu gasp çabaları genellikle orijinal ihlalden haftalar veya aylar sonra başlar.
UNC6240’ın e -postaları ve çağrıları 72 saat içinde bitcoin ödemelerini talep eder ve çalınan verilerin halka açıklanmasını tehdit eder. Bu mesajlar genellikle son birkaç yıldır çok sayıda yüksek profilli veri ihlali ile bağlantılı bir isim olan Shinyhunters ile ilişkilendirmeyi iddia ediyor.
GTIG, grup tarafından kullanılan bilinen gasp e -posta adreslerini listeledi:
- Shinycorp@tuta[.]com
- ShinyGroup@tuta[.]com
Buna ek olarak, kanıtlar saldırganların, fidye yazılım grupları tarafından kurbanları ödemeye baskı yapmak için yaygın olarak kullanılan bir taktik olan çalınan bilgileri yayınlamak için bir veri sızıntı sitesi (DLS) hazırladığını göstermektedir.
Altyapı ve taktikler
Saldırganlar, Vishing çağrıları sırasında kullanılan Okta oturum açma sayfalarını taklit etmek için tasarlanmış kimlik avı panellerini içeren altyapı kullandı. Bu paneller, kullanıcıların kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını gerçek zamanlı olarak hedefledi.
Ayrıca, taktiklerde bir evrim ve daha yüksek bir operasyonel güvenlik seviyesini gösteren kötü amaçlı uygulamalarını kaydetmek için deneme satıcı hesaplarını değil, üçüncü taraf hesapları kullanan saldırganların da kanıtları vardı.
GTIG, grubun çokuluslu şirketlerde İngilizce konuşan çalışanlara öncelik verdiğini ve genellikle BT personelini hedeflediğini ve yüksek erişim seviyelerinden yararlandığını belirtti.
Bazı durumlarda, tespitten önce sadece kısmi veriler çıkarıldı. Bir aktör, küçük veri parçaları kullanarak hedeflenen kayıtların sadece% 10’unu alırken, diğer olaylarda, saldırganlar test sorguları yaptıktan sonra ekstraksiyon hacimlerini arttırdı.
Çözüm
Bu ihlal, ses tabanlı sosyal mühendislik ve gecikmiş gasp taktikleri istihdam eden Shinyhunters gibi tehdit gruplarıyla bulut tabanlı Salesforce sistemlerine yönelik artan bir saldırı eğilimini vurgulamaktadır. GTIG, bu aktörler ve kimlik avı ve hack ile bilinen COM gibi daha geniş kolektifler arasındaki bağlantılar gözlemledi.
Salesforce entegrasyonlarının, özellikle bağlı uygulamaların ve OAuth jetonlarının kötüye kullanılması, teknik savunmaların kullanıcı uyanıklığı olmadan yetersiz olduğunu göstermektedir. Kuruluşlar erişim kontrollerini sıkılaştırmalı, MFA’yı geliştirmeli ve sosyal mühendisliğe direnmek için personel eğitirken, ilk ihlaller sınırlı göründükten sonra bile uzun vadeli risklere hazırlanmalıdır.