Google, 8 Agustos’tan itibaren UNC6395 olarak izlenen bir grubun, Salesloft Drift adlı üçüncü taraf bir uygulama aracılığıyla Salesforce örneklerine yönelik “yaygın veri hırsızlığı” kampanyası başlattığını açıkladı.
Google Tehdit İstihbarat Grubu (GTIG), UNC6395 olarak adlandırdığı bir tehdit aktörünün, Salesloft Drift üçüncü taraf uygulamasıyla ilişkili OAuth token’lerini ele geçirerek kuruluşların Salesforce örneklerinde bir dizi veri ihlali gerçekleştirdiğini duyurdu. Bu aktivitenin, ShinyHunters’ın daha önce gerçekleştirdiği ve birçok şirketin yaygın olarak kullandığı CRM hizmetinde ihlallere yol açan vishing saldırılarıyla ilgisi olmadığı belirtildi.
GTIG araştırmacıları, 8 Agustos’tan başlayarak en az 18 Agustos’a kadar UNC6395 olarak izlenen bir tehdit aktörünün, Salesforce örneklerini hedef alarak “yaygın bir veri hırsızlığı” kampanyası yürüttüğünü Mandiant blogunda duyurdu. Aktör, iletişim, analiz ve etkileşim dahil olmak üzere çeşitli satış süreçlerini otomatikleştirmek için yapay zeka kullanan ve Salesforce veri tabanlarıyla entegre olan uygulamanın kimlik doğrulama token’lerini kötüye kullandı.
Blog gönderisine göre UNC6395, Amazon Web Services (AWS) erişim anahtarları (AKIA), parolalar ve Snowflake ile ilgili erişim token’leri gibi hassas kimlik bilgilerini toplamak amacıyla “çok sayıda kurumsal Salesforce örneğinden sistematik olarak büyük miktarda veri dışa aktardı”.
GTIG’ye göre, bu kimlik bilgileri dışa aktarıldıktan sonra, “aktör, kurban ortamlarını tehlikeye atmak için potansiyel olarak kullanılabilecek sırları aramak için verileri inceledi” ve ardından sorgu işlerini silerek izlerini örtbas etti.
Gönderiye göre, kayıtların etkilenip etkilenmediğine dair bir kanıt olmamasına rağmen, “kuruluşlar yine de veriExposure kanıtı için ilgili kayıtları incelemelidir”.
Kampanya, kendi çözümlerini Salesforce hizmetiyle entegre eden Salesloft müşterileriyle sınırlı. Ayrıca, ihlallerin doğrudan Google Cloud müşterilerini etkilediğine dair bir kanıt bulunmamasına rağmen, Salesloft Drift’i kullananların “Salesforce nesnelerini herhangi bir Google Cloud Platform hizmet hesabı anahtarı için incelemeleri” gerektiği belirtildi.
GTIG’ye göre, “Salesforce ile entegre edilmiş Drift kullanan kuruluşlar, Salesforce verilerini tehlikeye girmiş olarak kabul etmeli ve derhal iyileştirme adımları atmaya çağrılmalıdır”.
Durumu düzeltmek için Salesloft, Drift uygulamasıyla tüm aktif erişim ve yenileme token’lerini iptal etmek için Salesforce ile birlikte çalıştı. Salesforce ayrıca, gönderiye göre “ileriki bir tarihe kadar ve daha fazla soruşturmaPending” Drift uygulamasını Salesforce AppExchange’den kaldırdı. GTIG, Salesforce ve Salesloft ayrıca etkilenen kuruluşları bilgilendirdi.
GITG raporu, Adidas, Pandora, Allianz, Tiffany & Co., Dior, Louis Vuitton, Workday ve hatta Google’ın kendisi de dahil olmak üzere, Temmuz ve Agustos ayları boyunca üçüncü taraf bir platform olan Salesforce aracılığıyla ihlallerle ilgili olarak çeşitli yüksek profilli şirketlerden gelen açıklamalardan sonra geldi. ShinyHunters adlı tehdit grubu, bu saldırıların çoğunun sorumluluğunu üstlendi ve vishing saldırıları, tehlikeye girme aracı olarak gösterildi.
Bu saldırıların haberleri, Google’ın Haziran ayında UNC6040 olarak izlenen ve ShinyHunters olduğunu iddia eden, mali açıdan motive olmuş bir tehdit grubunun, kuruluşların Salesforce ortamlarına erişim sağlamak için vishing saldırılarında BT destek personeli gibi davrandığını bildirmesinden sonra geldi. Bu ayın başlarında Google, UNC6040’ın bu taktikleri kullanarak Salesforce örneklerinden birini ihlal ettiğini açıkladı.
Bu Salesforce ihlallerinden bazılarının GITG’nin bulgularında özetlenen benzer zaman çizelgesine uymasına rağmen, tehlikeye girme araçları ikisi arasında farklılık gösteriyor ve Google, UNC6395 Salesloft Drift aktivitesinin UNC6040’a atfedilen vishing saldırılarından ayrı olduğunu söyledi. Bir GITG sözcüsü Dark Reading’e “Onları birbirine bağlayan hiçbirDayanaklı kanıt görmedik” dedi.
Halihazırda bahsedilen kılavuza ek olarak, etkilenen kuruluşlar, Salesforce nesnelerinde bulunan hassas bilgileri ve sırları aramalı ve API anahtarlarını iptal etmek, kimlik bilgilerini döndürmek ve sırların UNC6395 tarafından kötüye kullanılıp kullanılmadığını belirlemek için daha fazla soruşturma yapmak gibi uygun önlemleri almalıdır.
Şirket ayrıca, kuruluşların tehlikeye girmeyi araştırması ve açığa çıkan sırları taraması gerektiğini söyledi. Bunu, GTIG tarafından Mandiant blog gönderisindeki Bir Tehlike Göstergeleri bölümünde sağlanan IP adreslerini ve Kullanıcı Aracısı dizelerini arayarak ve ayrıca “Tor çıkış düğümlerinden kaynaklanan herhangi bir etkinlik için daha geniş bir arama” uygulayarak yapabilirler.
Diğer hafifletme adımları arasında, Drift bağlantı kullanıcısıyla ilişkili olağandışı etkinlik, Drift Bağlı Uygulamasından kimlik doğrulama etkinliği ve yürütülen SOQL sorgularını kaydeden UniqueQuery olayları için Salesforce Olay İzleme kayıtlarının incelenmesi yer alır.
Kuruluşlar ayrıca, tehdit aktörü tarafından kullanılan belirli sorguları almak ve Salesforce nesnelerinde potansiyel sırları aramak için bir Salesforce destek kaydı açabilir. Ayrıca, keşfedilen anahtarları veya sırları derhal iptal edip döndürerek, parolaları sıfırlayarak ve tehlikeye girmiş bir oturumun ömrünü sınırlamak için Oturum Ayarları’ndaki oturum zaman aşımı değerlerini yapılandırarak kimlik bilgilerini döndürmelidirler.
Google ayrıca, uygulamaların yalnızca gerekli izinlere sahip olmasını sağlayarak, bağlı uygulamada IP kısıtlamaları uygulayarak ve yalnızca güvenilir ağlardan erişime izin vermek için oturum açma IP aralıklarını tanımlayarak erişim kontrollerini sertleştirmeyi önerdi.
