UNC6395 olarak bir tehdit grubu Google izler, bu kuruluşların ortamlarını tehlikeye atmak için kullanılabilecek kimlik bilgilerini bulmak için Salesforce kurumsal örneklerinden verilerin verilerini çalmıştır.
“[Google Threat Intelligence Group] Amazon Web Services (AWS) Erişim Anahtarları (AKIA), şifreler ve kar tanesi ile ilgili erişim belirteçleri gibi hassas kimlik bilgilerini hedefleyen UNC6395 gözlemlendi ”diye paylaştı şirketin olay müdahalecileri.
UNC6395 Salesforce örneklerine nasıl erişti?
Salesforce, bulut tabanlı bir müşteri ilişkileri yönetim platformudur.
Hedeflenen kuruluşların Salesforce örneklerine erişmek için, tehdit oyuncusu ilk olarak Salesloft gelir düzenleme platformuna entegre edilmiş AI güdümlü bir canlı sohbet aracı olan Salesloft Drift ile ilişkili OAuth (Access) belirteçlerini tehlikeye attı.
Saldırganların OAuth jetonlarına nasıl el aldıkları şu anda bilinmiyor. Şu anda bilinen şey, 8 Ağustos – 18 Ağustos 2025 arasında, bunları verileri dışarı atmak için kullandıklarıdır.
Salesloft, “Tehdit oyuncusu, davalar, hesaplar, kullanıcılar ve fırsatlar da dahil olmak üzere çeşitli Salesforce nesneleriyle ilişkili bilgileri almak için sorgular yürüttü” dedi. “Bu olayın, sürüklenme satışı entegrasyonumuzu kullanmayan müşterileri etkilemediğini belirledik.”
Yapanlar, Salesforce verilerini tehlikeye atmalı ve araştırmaya ve iyileştirme adımlarını atmaya çağırmalıdır.
Ne yapalım?
“20 Ağustos 2025’te Salesloft, Salesforce ile işbirliği içinde, tüm aktif erişim ve yenileme jetonlarını sürüklenme uygulamasıyla iptal etti. Salesforce, daha fazla soruşturma bekleyen daha fazla araştırmaya kadar Salesforce AppExchange’den sürüklenme uygulamasını kaldırdı.”
Etkilenen kuruluşlar görünüşte bilgilendirildi ve hem Google hem de Salesloft, uzlaşma (kullanıcı ajanı dizeleri ve IP adresleri) kuruluşlarının kontrol edebileceği göstergeleri paylaştı.
GTIG, kurbanların Salesforce örneğine erişim sağlayan bu saldırganların kanıtlarını ortaya çıkarmak için atabilecekleri ek adımları paylaştı.
“UNC6395, sorgu işlerini silerek operasyonel güvenlik bilincini gösterdi, ancak günlükler etkilenmedi ve kuruluşlar veri maruz kalma kanıtı için ilgili günlükleri gözden geçirmelidir” dedi.
Uzlaşma kanıtı keşfeden kuruluşlar, hangi sırların Salesforce nesnelerinin içerdiğini kontrol etmeli ve tüm API anahtarlarını iptal etmeli ve orada saklanan tüm kimlik bilgilerini döndürmelidir.
Ayrıca, bu sırların her birinin daha fazla saldırıda istismar edilip edilmediğini kontrol etmelidirler, yani grubun onları diğer bulut/SaaS sistemlerine döndürmek için kullandığına dair kanıt aramalıdırlar.
Saldırının arkasında kim var?
“UNC6395 saldırıları hakkında en dikkat çekici olan şey, hem ölçek hem de disiplindir. Bu bir kerelik uzlaşma değildi; belirli bir ilgi alanının yüzlerce satış kuvveti kiracısı, çalıntı oauth tokenleri kullanılarak hedeflendi ve birçok ortamda metodik olarak sorgulanan ve ihraç edilen verileri, operasyonel disipline sahip olduklarını gösterdikleri için, daha yüksek düzeyde disipline sahip olduklarını gösterdiklerini gösterdi. İşleri silerek parçalar, ”SaaS uygulama güvenlik firması Appomni’nin STK’sı Cory Michal, Net Security’ye verdiği demeçte.
Bu özellikler, özellikle tehlikeye atılan kuruluşların çoğunun güvenlik ve teknoloji şirketleri olduğu bilindiğinde, daha geniş bir misyona sahip devlet destekli bir düşmana işaret edebilir.
“Bu sadece izole bir SaaS uzlaşması değil, potansiyel olarak teknoloji tedarik zincirinde var olan güven ilişkilerini kullanmayı amaçlayan çok daha büyük bir kampanyanın temelini oluşturuyor.”
Kuruluşlara, hangi uygulamaların bağlı olduğunu ve hangi iznine sahip olduklarını ve aşırı geniş olanları sıkılaştırarak/kaldırarak OAuth2 ve SaaS-SAAS entegrasyonlarını güvence altına almak için proaktif bir yaklaşım benimsemelerini tavsiye etti.
“Tespit tarafında, şirketler SaaS denetim günlüklerini yutmalı, olmayan sorgu etkinliği veya büyük ölçekli veri ihracatını izlemeli ve bu günlükleri, kötü niyetli IP’lere veya kullanıcı-ajanı dizelerine bağlı olarak belirlemek için tehdit istihbaratıyla zenginleştirmelidir. Proaktif entegrasyon yönetişimini sürekli izleme ve anomali saptamasıyla birleştirme, organizasyonları erken ve en aza indirgeme ile yakalamak için en iyi şansı vermelidir”.
Salesforce örnekleri bu yıl sola ve sağdan ödün verildi. Dağınık Örümcek Grubu/Kolektif ile belirgin bağları olan bir tehdit grubu olan Shinyhunters hackerları, birçok yüksek profilli işletmeye (Google dahil) karşı sesli kimlik avı saldırılarını monte ediyor ve çalışanları hedeflenen Orgs’ın Salesforce örneklerine kötü niyetli bir uygulama erişimi vermeye ikna ediyor.
Ancak bu ve bu son saldırıların herhangi bir şekilde bağlantılı olup olmadığı şu anda bilinmemektedir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!