Sahte BT Destek Çağrıları Kullanan Bilgisayar Korsanları Kurumsal Sistemlere ve Google'a Saldırıyor
UNC6040 olarak bilinen finansal amaçlı bir bilgisayar korsanı grubu, kurumsal ortamlara sızmak için basit ama etkili bir taktik kullanıyor: Telefonu açıp BT desteğiymiş gibi davranmak, kısaca sesli kimlik avı (Vishing) olarak adlandırılıyor.
Google'ın Tehdit İstihbarat Grubu'ndan (GTIG) gelen yeni bir rapora göre, bu aktör telefon tabanlı sosyal mühendislik saldırılarında şirket içi teknik personeli taklit ediyor. Amaçları, çoğunlukla çokuluslu şirketlerin İngilizce konuşan şubelerindeki çalışanları kandırarak hassas sistemlere, özellikle de yaygın olarak kullanılan bir müşteri ilişkileri yönetimi (CRM) platformu olan Salesforce'a erişim izni vermek.
UNC6040, istismarlara veya güvenlik açıklarına güvenmez. Bunun yerine, insan hatasına güvenir. Saldırganlar çalışanları arar ve onlara Salesforce içindeki bağlı bir uygulamayı onaylama konusunda rehberlik eder. Ancak bu herhangi bir uygulama değildir, genellikle Salesforce'un meşru Veri Yükleyici aracının değiştirilmiş bir sürümüdür.
Bu erişimle saldırganlar hedeflenen organizasyondan büyük miktarda veri sorgulayabilir ve çıkarabilir. Bazı durumlarda, aracı dolandırıcılığın BT destek temasıyla uyumlu bir isim olan "Biletim Portalı" olarak gizlerler.
Erişim sağlandığında, UNC6040 verileri aşamalar halinde çeker. Bazen, tespit edilmekten kaçınmak için küçük başlarlar, test sorguları ve sınırlı parti boyutları kullanırlar. İlk sondaj fark edilmezse, işlemi ölçeklendirirler ve büyük hacimli sızdırmaya başlarlar.
İlginçtir ki, veri hırsızlığı her zaman anında taleplere yol açmaz. Birçok olayda, kurbanların gasp mesajları alması aylar sürdü. Bu mesajlar sırasında saldırganlar, iyi bilinen hack grubu ShinyHunters ile ilişkili olduklarını iddia ettiler; bu hareket muhtemelen kurbanlar üzerinde ödeme yapma baskısını artırmayı amaçlıyordu.
Bu gecikmeli yaklaşım, UNC6040'ın çalınan verileri paraya dönüştürme konusunda uzmanlaşmış diğer aktörlerle çalışıyor olabileceğine işaret ediyor. Erişim satıyor veya verileri takip saldırıları için devrediyor olsunlar, uzun duraklama güvenlik ekipleri için olay algılama ve yanıtlamayı daha karmaşık hale getiriyor.
Birincil hedef Salesforce olsa da, grubun hırsları burada bitmiyor. UNC6040, kimlik bilgilerini edindikten sonra, Okta ve Microsoft 365 gibi platformları hedef alarak kurumsal sistemlerde yatay olarak hareket ettiği gözlemlendi. Bu daha geniş erişim, ek değerli veriler toplamalarına, varlıklarını derinleştirmelerine ve gelecekteki gasp girişimleri için kaldıraç oluşturmalarına olanak tanır.
GTIG, bu tür ihlalleri daha az olası hale getirmek için birkaç net adım atılmasını öneriyor . İlk olarak, Data Loader gibi güçlü araçlara kimlerin erişebileceğini sınırlayın, yalnızca gerçekten ihtiyaç duyan kullanıcıların izinleri olmalı ve bunlar düzenli olarak incelenmelidir. Ayrıca, hangi bağlı uygulamaların Salesforce kurulumunuza erişebileceğini yönetmek de önemlidir; herhangi bir yeni uygulama resmi bir onay sürecinden geçmelidir.
Yetkisiz erişimi, özellikle VPN kullanan saldırganlardan gelenleri önlemek için, oturum açmalar ve uygulama yetkilendirmeleri güvenilir IP aralıklarıyla sınırlandırılmalıdır. İzleme bir diğer önemli parçadır, Salesforce Shield gibi platformlar büyük ölçekli veri dışa aktarımlarını gerçek zamanlı olarak işaretleyebilir ve bunlara tepki verebilir. Çok faktörlü kimlik doğrulama ( MFA ) mükemmel olmasa da, özellikle kullanıcılar bunu aşmaya çalışan kimlik avı çağrıları gibi hileleri tespit etmek üzere eğitildiğinde, hesapları korumada yine de önemli bir rol oynar.
HackRead
