Az FBI szerint mindenki Salesforce-adatát lopják a hackerek

Kreatív social engineering és kiterjedt adatlopások

Az UNC6040 csoportot idén nyáron vette célba a Google fenyegetésfelderítő csapata. A hackerek 2024 vége óta azon dolgoznak, hogy különböző átverésekkel, például telefonos csalásokkal rávegyék a cégek dolgozóit arra, hogy engedélyezzenek egy álcázott Salesforce Data Loader alkalmazást. Gyakran informatikai támogatónak adják ki magukat, és „My Ticket Portal” néven hivatkoznak az alkalmazásra. Ha a dolgozó rákattint, a támadók nagyméretű adatletöltést indíthatnak el a vállalat Salesforce rendszeréből, majd ezzel a ShinyHunters nevű zsarolócsoport fenyegeti meg az áldozatokat.

Az ellopott adatok főként az ügyféladatokat tartalmazó táblákból származnak, gyakran multinacionális, ismert vállalatokat is érintve. Az elkövetők továbbá olyan bizalmas támogatási dokumentumokat is megszereztek, amelyek például AWS felhőkulcsokat, hozzáférési jelszavakat és hitelesítési tokeneket tartalmaztak – ezekkel további rendszerek feltörése is lehetővé vált.

Drift tokenek, Salesloft és tovagyűrűző károk

Augusztusban újabb támadáshullám indult, immár a Salesforce-ügyfelek Drift tokenjeinek ellopására összpontosítva. Ezekkel a támadók levelezésekhez és support információkhoz is hozzáférhettek. A Salesloft és a Salesforce közösen dolgozott a tokenek visszavonásán és az újraazonosítás elindításán, de addigra több tucat vállalat már áldozatul esett. Később a vizsgálatokból az is kiderült, hogy ezekhez a támadásokhoz már márciusban hozzáfogtak.

A hackercsapat egyébként magát több ismert zsarolócsoport, köztük a Lapsus$, a Szétszórt Pók (Scattered Spider) és a ShinyHunters tagjaiként mutatja be. A napokban azt állították, hogy hozzáférést szereztek az FBI E-Check rendszeréhez és a Google bűnüldözési adatlekérdező platformjához is, sőt, képernyőfotókat tettek közzé bizonyítékként. A hatóságok azonban nem reagáltak a megkeresésekre.

2025, adrienne, www.bleepingcomputer.com alapján