ShinyHunters İddiaları ve Tehditin Boyutu
Son dönemde, Google’ın Tehdit İstihbarat Grubu (GTIG), ShinyHunters adı altında faaliyet gösteren bir ekipten kaynaklanan sosyal mühendislik saldırılarını takip etmektedir. Bu saldırılar, çok uluslu şirketleri hedef alarak, bu şirketlerin Salesforce platformlarından veri çalmayı amaçlamaktadır. Google, bu tehdidi UNC6040 kodu ile izlemektedir.
Voice Phishing Saldırıları ve Hedef Alınan Çalışanlar
Saldırılar, çoğunlukla İngilizce konuşan çalışanları hedef alarak sesli phishing (voice phishing) taktikleri kullanmaktadır. Hedefteki çalışanlar, IT destek personeli tarafından arandıklarını düşünerek kandırılmakta ve Salesforce’un Data Loader uygulamasının değiştirilmiş bir versiyonunu kurmaya ikna edilmektedir. Araştırmalar, saldırganların, çalışanlardan Salesforce Data Loader’a bir bağlantı kabul etmelerini istemek amacıyla sahte bir destek çağrısı yaptıklarını ortaya koymaktadır.
GTIG, "Uygulama OAuth desteği sağlıyor ve Salesforce’taki ‘bağlı uygulamalar’ işlevi aracılığıyla doğrudan ‘app’ entegrasyonu yapıyor." açıklamasında bulunmaktadır. Bu sayede, hedef çalışan, saldırganın kontrolündeki Data Loader’ın kendi ortamıyla bağlantı kurmasına olanak tanıyacak bir "bağlantı kodu" girmesi yönünde kandırılmaktadır.
Veri Sızıntısı ve Yan Etkileri
Hedef organizasyonlar zaten Salesforce tabanlı müşteri ilişkileri yönetim platformunu (CRM) kullanıyor olduğundan, bu kötü niyetli uygulamanın yüklenmesi talebi, saldırı sürecinin bir parçası olarak meşru görülebilmektedir. UNC6040 saldırılarında, bu uygulama kullanılarak Salesforce’ta depolanan verilerin dışa aktarılması ve ardından bu erişim ile Okta, Microsoft 365 gibi bağlı platformlar arasında hareket edilmesi amaçlanmaktadır. Bu ek bulut platformlarına erişim, tehdit aktörlerine çok daha hassas bilgilere ulaşıma imkan tanımaktadır.
Saldırganların Taktiği ve Güvenlik Önlemleri
GTIG raporuna göre, UNC6040, hedef ağlara sesli phishing sosyal mühendisliği ile erişim sağlamaktadır. Erişim sağlandıktan sonra, hemen Salesforce ortamından veri sızdırma süreci başlatılmaktadır. "Veri hırsızlığından sonra, UNC6040, hedef ağda yan hareketler yapmakta ve Okta, Workplace ve Microsoft 365 gibi diğer platformlardan veri çalmaktadır." şeklinde açıklanmaktadır.
Bazen, izinsiz aktiviteleri tespit eden koruma sistemleri tarafından veri sızıntısı işlemleri durdurulmakta, bu sistemler saldırganların bu riski bildiğini göstermektedir. Saldırganlar, saldırılarını artırmadan önce farklı veri paket boyutları ile denemeler yaparak sistemi manipüle etmeye çalışmaktadırlar.
Yine, UNC6040, sosyal mühendislik bağlamına uygun şekilde değiştirilmiş Salesforce Data Loader versiyonları kullanmaktadır. Örneğin, uygulamayı "My Ticket Portal" olarak adlandırıp, mağdurları aldatmak için kurulum yapmaları yönünde ikna etmektedirler.
Öneriler ve Koruma Yöntemleri
Google, Salesforce kullanan organizasyonlar için bazı güvenlik önlemleri önermektedir. Bu öneriler arasında, "API Enabled" izinlerinin kısıtlanması, uygulama yükleme yetkilerinin sınırlandırılması ve Mullvad gibi ticari VPN’lerden gelen erişimlerin engellenmesi bulunmaktadır. Ayrıca, sosyal mühendislik saldırılarına karşı daha fazla bilgi ve seçenekler sunulmaktadır.
ShinyHunters ile İlişkilendirilen Saldırılar
Gözlemlenen saldırılar sonucunda, saldırganların, şirketleri veri sızıntısını önlemek amacıyla fidye ödemeye zorladıkları rapor edilmiştir. Google, bu fidye taleplerinin başlangıçta birkaç ay sonra ortaya çıkabileceğini belirtmektedir. Bu durum, UNC6040’ın çalınan verilere ulaşmak için başka bir tehdit aktörüyle iş birliği yapmış olabileceğini düşündürmektedir.
ShinyHunters; uzun süre boyunca veri hırsızlığı ile ilişkilendirilen tanınmış bir hacking grubudur. Bu grup, birçok yüksek profilli saldırının arkasında yer almış olup, geniş çapta verilere ulaşım sağlamıştır. Örneğin, SnowFlake veri hırsızlığı saldırıları ve PowerSchool veri ihlali gibi vakalar bu grubun etkisi altında gerçekleşmiştir.
Bu durum, şirketlerin daha dikkatli olmasını ve modern güvenlik çözümlerini benimsemesini gerektiren bir ortam yaratmaktadır. Hızla değişen tehditlere karşı, organizasyonların sürekli olarak güncel kalması ve proaktif önlemler alması büyük önem taşımaktadır.
