FTB paskelbė įspėjimą apie „Flash“ perspėjimą, kad dvi grėsmės grupės, stebimos kaip UNC6040 ir UNC6395, yra kompromituojančios organizacijų „Salesforce“ aplinką, kad pavogtų duomenis ir išspaustų aukas.
„Federalinis tyrimų biuras (FTB) išleidžia šį blykstę skleisti kompromisų (TOC), susijusių su naujausia kenksminga kibernetinės kibernetinės kibernetinės nusikalstamos grupių UNC6040 ir UNC6395, rodikliais, atsakingais už kylantį duomenų vagysčių skaičių ir turto prievartavimo įsibrovimą“, – skaito FBI „Flash Adrisory“.
„Abi grupės neseniai buvo pastebėtos nukreiptos į organizacijų„ Salesforce “platformas naudodamos skirtingus pradinius prieigos mechanizmus. FTB išleidžia šią informaciją, kad padidintų supratimą ir pateiktų IOC, kuriuos gali naudoti gavėjai tyrimų ir tinklo gynybai.”
„UNC6040“ pirmą kartą birželio mėnesį atskleidė „Google Great Intelligence“ („Mandiant“), kuris perspėjo, kad nuo 2024 m. Pabaigos grėsmės veikėjai naudoja socialinę inžineriją ir matymo išpuolius, norėdami apgauti darbuotojus, kad sujungtų kenksmingų „Salesforce Data Loader OAuth“ programas prie savo įmonės „Salesforce“ sąskaitų.
Kai kuriais atvejais grėsmės veikėjai apsimetinėjo įmonių IT palaikymo personalu, kuris naudojo pervadintas programos versijas, pavadinimu „Mano bilietų portalas“.
Susiję, grėsmės veikėjai naudojo „OAuth“ programą masiniam eksploatavimo įmonių pardavėjų duomenims, kuriuos vėliau panaudojo „ShinyHunters“ turto prievartavimo grupės turto prievartavimo bandymuose.
Šiose ankstyvose duomenų vagysčių atakose „ShinyHunters“ sakė „Bleepingcomputer“, kad jie pirmiausia buvo nukreipti į „sąskaitas“ ir „kontaktus“ duomenų bazių lenteles, kurios abi naudojamos duomenų apie įmonės klientus saugoti.
Šie duomenų vagystės išpuoliai buvo plačiai paplitę, darantys įtaką didelėms ir žinomoms įmonėms, tokioms kaip „Google“, „Adidas“, „Qantas“, „Allianz Life“, „Cisco“, „Kering“, „Louis Vuitton“, „Dior“ ir „Tiffany & Co.“.
Vėlesni duomenų vagystės išpuoliai rugpjūčio mėn. Taip pat buvo nukreipti į „Salesforce“ klientus, tačiau šį kartą panaudojo pavogtą „SalesLoft Drift OAuth“ ir „Refresh“ žetonus, kad būtų galima pažeisti klientų „Salesforce“ egzempliorius.
Ši veikla stebima kaip UNC6395 ir, kaip manoma, įvyko nuo rugpjūčio 8 iki 18 dienos, o grėsmės veikėjai naudoja žetonus, kad nukreiptų į bendrovės palaikymo bylos informaciją, kuri buvo saugoma „Salesforce“.
Tada buvo išanalizuoti eksfiltruoti duomenys, siekiant išgauti paslaptis, kredencialus ir autentifikavimo žetonus, kuriais dalijamasi palaikymo atvejais, įskaitant AWS raktus, slaptažodžius ir snaigių žetonus. Tada šie kredencialai galėtų būti naudojami norint pasukti į kitą debesų aplinką, kad būtų galima gauti papildomų duomenų vagysčių.
„SalesLoft“ dirbo su „Salesforce“, kad atšauktų visus „Drift“ žetonus ir reikalavo, kad klientai pakartotinai galėtų patekti į platformą.
Vėliau buvo atskleista, kad grėsmės veikėjai taip pat pavogė dreifo el. Pašto ženklus, kurie buvo naudojami norint pasiekti el. Laiškus nedaugeliui „Google Workspace“ paskyrų.
Mandianto tyrimas nustatė, kad išpuolis atsirado kovo mėn., Kai „SalesLoft“ „GitHub“ saugyklos buvo pažeistos, leidžiančios užpuolikams galų gale pavogti „Drift OAuth“ žetonus.
Kaip ir ankstesni išpuoliai, šie nauji „SalesLoft Drift“ duomenų vagystės atakos paveikė daugybę kompanijų, įskaitant „CloudFlare“, „Zscaler“, „Tenable“, „Cyberark“, „Elascal“, „BeyondTrust“, „ProofPoint“, „JFrog“, „Nutanix“, „Qualys“, „Rubrik“, „Cato“ tinklus, „Palo Alto“ tinklus ir daugelį kitų.
Nors FTB nepavadino šių kampanijų grupių, „Shinyhunters“ turto prievartavimo grupė „Bleepingcomputer“ pasakė, kad jie ir kiti grėsmės veikėjai, vadinantys save „išsibarsčiusių„ Lapsus $ “medžiotojais, buvo už abiejų veiklos grupių.
Ši įsilaužėlių grupė teigia kilusi iš „Lapsus $“, „Scatter“ vorų ir „Shinyhunters“ turto prievartavimo grupių.
Ketvirtadienį grėsmės aktoriai per domeną, susijusį su „Breachfforums“, paskelbė, kad jie planuoja „eiti tamsiu“ ir nustoti diskutuoti apie operacijas telegramoje.
Tačiau atsisveikinimo įraše įsilaužėliai teigė gavę prieigą prie FTB e-patikrinimo foninės patikros sistemos ir „Google“ teisėsaugos užklausų sistemos, paskelbdami ekrano kopijas kaip įrodymą.
Jei ši prieiga būtų teisėta, ši prieiga leistų apsimesti teisėsauga ir patraukti jautrius asmenų įrašus.
Kai susisiekė su „BleepingComputer“, FTB atsisakė komentuoti, o „Google“ neatsakė į mūsų el. Paštą.
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.