FBI: سرقت دادههای Salesforce توسط UNC6040 و UNC6395 در جریان است
هشدار FBI درباره سرقت دادههای Salesforce توسط گروههای UNC6040 و UNC6395
FBI با انتشار یک هشدار FLASH اعلام کرد که دو تهدید با نامهای UNC6040 و UNC6395 در حال نفوذ به محیطهای Salesforce سازمانها برای سرقت دادهها و اخاذی از قربانیان هستند.
در بخشی از این هشدار آمده است:
«پلیس فدرال آمریکا (FBI) این هشدار FLASH را برای انتشار Indicators of Compromise (IOCs) مرتبط با فعالیتهای مخرب اخیر گروههای UNC6040 و UNC6395 منتشر میکند. این گروههای مجرمانه سایبری مسئول افزایش حملات مرتبط با سرقت داده و اخاذی هستند. هر دو گروه اخیراً سازمانها را از طریق سازوکارهای مختلف initial access هدف قرار دادهاند. هدف از این اطلاعیه، افزایش سطح آگاهی و ارائه IOCs جهت استفاده در تحقیقات و دفاع شبکه است.»
FBI همچنین مجموعهای از IOCs شامل user agent strings، آدرسهای IP و URLs مورد استفاده در این حملات را برای تقویت دفاع سایبری سازمانها منتشر کرده است.
حملات سرقت داده از Salesforce
گروه UNC6040 نخستین بار در ژوئن توسط Google Threat Intelligence (Mandiant) شناسایی شد. بر اساس گزارش، از اواخر سال ۲۰۲۴ مهاجمان با استفاده از social engineering و حملات vishing، کارمندان را فریب داده و آنها را وادار به اتصال Salesforce Data Loader OAuth apps مخرب به حسابهای سازمانی Salesforce میکردند.
در برخی موارد مهاجمان خود را بهعنوان کارکنان پشتیبانی IT معرفی کرده و از نسخههای تغییرنامیافته برنامه با عنوان «My Ticket Portal» استفاده میکردند. پس از اتصال، مهاجمان با بهرهگیری از OAuth app دادههای سازمانی Salesforce را بهصورت انبوه exfiltrate کرده و سپس گروه اخاذی ShinyHunters از این دادهها برای باجگیری استفاده میکرد.
در این حملات اولیه، تمرکز بر جداول Accounts و Contacts در پایگاه داده بود که اطلاعات مشتریان سازمانها را ذخیره میکنند. قربانیان این حملات شامل شرکتهای بزرگ و شناختهشدهای همچون Google، Adidas، Qantas، Allianz Life، Cisco، Kering، Louis Vuitton، Dior و Tiffany & Co. بودند.
در ادامه، در آگوست حملات دیگری شناسایی شد که مشتریان Salesforce را هدف قرار دادند، اما این بار با سوءاستفاده از Salesloft Drift OAuth و refresh tokens سرقتشده برای نفوذ به محیطهای Salesforce مشتریان. این فعالیتها به نام UNC6395 ردیابی شده و بین ۸ تا ۱۸ آگوست رخ دادهاند. تمرکز مهاجمان در این مرحله بر روی اطلاعات support case ذخیرهشده در Salesforce بود.
دادههای سرقتشده شامل secrets، credentials و authentication tokens بود که در پروندههای پشتیبانی قرار داشتند؛ از جمله AWS keys، passwords و Snowflake tokens. این اطلاعات سپس برای نفوذ به دیگر محیطهای ابری مورد استفاده قرار میگرفت.
شرکت Salesloft با همکاری Salesforce تمامی Drift tokens را لغو کرده و از مشتریان خواست مجدداً احراز هویت کنند. مشخص شد مهاجمان همچنین موفق به سرقت Drift Email tokens شدهاند که دسترسی به ایمیلهای برخی حسابهای Google Workspace را فراهم کرده است. بررسیهای Mandiant نشان داد ریشه این حمله به مارس بازمیگردد، زمانیکه مخازن GitHub شرکت Salesloft نفوذ شد و در نهایت منجر به سرقت Drift OAuth tokens گردید.
این حملات نیز همچون موارد قبلی تعداد زیادی از شرکتها را تحت تأثیر قرار دادند، از جمله Cloudflare، Zscaler، Tenable، CyberArk، Elastic، BeyondTrust، Proofpoint، JFrog، Nutanix، Qualys، Rubrik، Cato Networks، Palo Alto Networks و بسیاری دیگر.
نقش ShinyHunters و گروههای مرتبط
هرچند FBI نامی از گروههای مسئول این کمپینها نبرده است، اما گروه ShinyHunters در گفتگو با BleepingComputer اعلام کرده که آنها و سایر مهاجمان با نام «Scattered Lapsus$ Hunters» پشت هر دو فعالیت قرار دارند. گفته میشود این گروهها با Lapsus$، Scattered Spider و خود ShinyHunters همپوشانی دارند.
در آخرین پیام خود از طریق دامنه مرتبط با BreachForums، مهاجمان اعلام کردند که قصد دارند «go dark» شده و فعالیتهای خود را در Telegram متوقف کنند. با این حال، در یک پیام خداحافظی ادعا کردند که به سیستم E-Check background check افبیآی و Google Law Enforcement Request system دسترسی پیدا کردهاند و برای اثبات، اسکرینشاتهایی منتشر کردند.
در صورت صحت این ادعا، مهاجمان میتوانند با جعل هویت نهادهای قانونی به سوابق حساس افراد دسترسی پیدا کنند. FBI در پاسخ به پرسش BleepingComputer از اظهار نظر خودداری کرد و Google نیز پاسخی ارائه نداد.
