„ShinyHunters“ turto prievartavimo grupė teigia, kad iš 760 bendrovių pavogė daugiau nei 1,5 milijardo „Salesforce“ rekordų, naudojančių pažeistą „SalesLoft Drift OAuth“ žetonus.
Praėjusiais metais grėsmės veikėjai nukreipė „Salesforce“ klientus dėl duomenų vagystės atakų, naudodamiesi socialine inžinerija ir kenksmingomis OAuth programomis, kad pažeistų „Salesforce“ egzempliorius ir atsisiųstų duomenis. Tada pavogti duomenys naudojami norint išstumti įmones mokėti išpirką, kad duomenys nebūtų viešai nutekėję.
Šiuos išpuolius tvirtino grėsmės aktoriai, teigdami, kad jie yra „Shinyhunters“, „Išsklaidyto voro“ ir „Lapsus“ $ turto prievartavimo grupių dalis, dabar save vadindami „išsklaidytais„ Lapsus $ Hunters “. „Google“ stebi šią veiklą kaip UNC6040 ir UNC6395.
Kovo mėnesį vienas iš grėsmės veikėjų pažeidė „SalesLoft“ „GitHub“ saugyklą, kurioje buvo privatus įmonės šaltinio kodas.
„ShinyHunters“ sakė „BleepingComputer“, kad grėsmės veikėjai naudojo „TruffrugHog“ saugos įrankį norėdami nuskaityti šaltinio kodą paslaptis, dėl kurio buvo rasta „OAuth“ žetonų „SalesLoft Drift“ ir „Drift“ el. Pašto platformos.
„SalesLoft Drift“ yra trečiųjų šalių platforma, jungianti „Drift AI“ pokalbių agentą su „Salesforce“ egzemplioriumi, leidžiančia organizacijoms sinchronizuoti pokalbius, vadovauti ir palaikyti atvejus į savo CRM. „Drift“ el. Paštas naudojamas el. Pašto atsakymams tvarkyti ir organizuoti CRM bei rinkodaros automatizavimo duomenų bazes.
Naudodamiesi šiais pavogtais „Drift OAuth“ žetonais, „Shinyhunters“ sakė „Bleepingcomputer“, kad grėsmės veikėjai pavogė maždaug 1,5 milijardo duomenų įrašų 760 bendrovių iš „sąskaitos“, „Kontaktų“, „Case“, „Opėjama“ ir „Vartotojo“ „Salesforce“ objektų lentelės.
Iš šių įrašų maždaug 250 milijonų buvo iš sąskaitos, 579 mln. Iš „Contact“, 171 mln. Iš galimybių, 60 mln. Iš vartotojo ir apie 459 mln. Įrašų iš „Case Salesforce“ lentelių.
Atvejo lentelė buvo naudojama informacijai ir tekstui saugoti iš palaikymo bilietų, kuriuos pateikė šių bendrovių klientai, kurie technologijų įmonėms galėtų apimti neskelbtinus duomenis.
Kaip įrodymą, kad jie buvo už atakos, grėsmės aktorius pasidalino tekstiniu failu, kuriame pateikiami šaltinio kodo aplankai pažeidžiamoje „SalesLoft GitHub“ saugykloje.
„Bleepingcomputer“ susisiekė su „SalesLoft“ su klausimais apie šiuos įrašų skaičių ir bendrą paveiktų įmonių skaičių, tačiau negavo atsakymo į mūsų el. Laišką. Tačiau šaltinis patvirtino, kad skaičiai yra tikslūs.
„Google“ grėsmės intelektas („Mandiant“) pranešė, kad pavogti atvejo duomenys buvo išanalizuoti dėl paslėptų paslapčių, tokių kaip kredencialai, autentifikavimo žetonai ir prieigos raktai, kad užpuolikai galėtų pasukti į kitas aplinkas tolesnėms atakoms.
„Po to, kai duomenys buvo išsekę, aktorius ieškojo duomenų, norėdamas ieškoti paslapčių, kurios galėtų būti panaudotos pakenkant aukų aplinkai“, – aiškino „Google“.
„GTIG stebėjo UNC6395, nukreiptą į neskelbtinus kredencialus, tokius kaip„ Amazon Web Services “(AWS) prieigos raktai (AKIA), slaptažodžiai ir su snaigėmis susijusios prieigos žetonai.”
Pavogtos dreifo ir dreifo el. Pašto žetonai buvo naudojami didelio masto duomenų vagystės kampanijose, kuriose užklupo pagrindines kompanijas, įskaitant „Google“, „Cloudflare“, „Zscaler“, „Tenable“, „Cyberark“, „Elasc“, „BeyondTrust“, „ProofPoint“, „Jfrog“, „Nutanix“, „Qualys“, „RubriK“, „Cato Networks“, „Palo Alto Networks“ ir daug daugiau.
Dėl didžiulės šių išpuolių apimties FTB neseniai paskelbė patariamąjį įspėjimą apie UNC6040 ir UNC6395 grėsmės aktorius, pasidalindamas išpuolių metu IOC.
Praėjusį ketvirtadienį grėsmės veikėjai, tvirtinantys, kad yra „Scatter Spider“, pareiškė, kad jie planuoja „eiti tamsiais“ ir nustoti diskutuoti apie operacijas „Telegram“.
Atsiskirstymo pranešime grėsmės veikėjai teigė pažeidę „Google“ teisėsaugos užklausų sistemą (LERS), kurią teisėsauga naudoja duomenų užklausoms pateikti, ir FTB ECHECK platforma, naudojama foninių patikrinimų atlikimui.
Susisiekusi su „Google“ dėl šių pretenzijų, bendrovė patvirtino, kad į savo LERS platformą buvo įtraukta apgaulinga sąskaita.
„Mes nustatėme, kad mūsų teisėsaugos užklausų sistemoje buvo sukurta apgaulinga sąskaita ir išjungėme sąskaitą“, – „Google“ pasakojo „Bleepingcomputer“.
„Dėl šios apgaulingos sąskaitos nebuvo pateikta jokių užklausų ir nebuvo galima gauti duomenų.”
Nors grėsmės veikėjai nurodė, kad jie išeina į pensiją, „Reliaquest“ tyrėjai praneša, kad grėsmės veikėjai pradėjo kreiptis į finansines įstaigas 2025 m. Liepos mėn. Ir greičiausiai tęs atakas.
Norėdami apsaugoti nuo šių duomenų vagysčių atakų, „Salesforce“ rekomenduoja klientams sekti geriausią saugumo praktiką, įskaitant įgalinimą daugiafaktoriaus autentifikavimo (MFA), įgyvendindami mažiausiai privilegijos principą ir kruopščiai valdant prijungtas programas.
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.