ShinyHunters, Salesforce’a Bir Yıldır Sıfır Açık Kullanmadan Giriyor: Microsoft’un Haritaladığı 3 Yol Siber Güvenlik

ShinyHunters, Salesforce’a Bir Yıldır Sıfır Açık Kullanmadan Giriyor: Microsoft’un Haritaladığı 3 Yol

ShinyHunters grubu, Salesforce’a bir yıldır sıfır açık kullanmadan, OAuth bağlantıları ve vishing ile sızıyor. Microsoft, üç saldırı yolunu haritaladı

Siber güvenlik dünyasında sıkça duyduğumuz ShinyHunters grubu, son bir yıldır Salesforce ortamlarına sızmak için şaşırtıcı bir yöntem kullanıyor: Hiçbir güvenlik açığını istismar etmiyorlar. Bunun yerine, kuruluşların zaten sahip olduğu güveni kullanıyorlar. Özellikle OAuth bağlantıları üzerinden Salesforce’u uygulamalara ve üçüncü taraf tedarikçilere bağlayan bu güven ilişkileri, saldırganlar için birer kapı haline geliyor. Microsoft’un 13 Temmuz’da yayımladığı araştırmaya göre, 2025 ortasından 2026 ortasına kadar süren bu kampanyalar üç farklı teknikle haritalandı. Ayrıca Microsoft, Salesforce ile birlikte bu aktiviteleri tespit etmek ve yönetmek için yeni araçlar geliştirdi. Peki, bu saldırıları bu kadar zor yakalanabilir kılan ne?

Bu saldırıların en zor yanı, trafiğin meşru kullanıcı veya güvenilen bir uygulamadan gelmesi. Salesforce oturum açma ve kimlik doğrulama izleme sistemleri, normal kullanım olarak algıladığı bu trafiği neredeyse fark etmiyor. Asıl sorun, uygulama veya hesabın içeri girdikten sonra ne yaptığı. Ancak Salesforce’un çoğu loglama sistemi, tam da bu noktayı izlemek için tasarlanmamış. Microsoft, bu aktiviteleri üç ana saldırı yoluna ayırıyor: vishing (sesli phishing) aramalarıyla çalışanları kötü niyetli bir bağlı uygulamayı onaylamaya ikna etmek, güvenliği ihlal edilmiş yazılım tedarikçilerinden çalınan OAuth token’ları kullanmak ve Salesforce sitelerine yanlış yapılandırılmış misafir erişiminden faydalanmak. Her biri geçen yıl yaşanan bir Salesforce olayına denk geliyor ve Microsoft bu aktiviteleri perakende, eğitim ve üretim gibi sektörlerde birçok kiracıda gördü.

İlk saldırı yolu, tüm bu süreci başlatan vishing aramaları. 2025 ortasında başlayan bu kampanyada, saldırganlar IT destek personeli gibi davranarak Salesforce çalışanlarını aradı ve onları Salesforce’un Data Loader aracı gibi görünen, saldırgan kontrolündeki bir bağlı uygulamayı onaylamaya ikna etti. Onay verildiğinde, uygulama o kullanıcı adına API çağrıları yaparak Salesforce verilerini sıralayabiliyor, CRM kayıtlarına kalıcı erişim sağlayabiliyor ve diğer SaaS platformlarına geçiş yapmak için kimlik bilgileri arayabiliyordu. Bu saldırıda kötü amaçlı yazılım yok, çalınan şifre yok; sadece bir telefon görüşmesi ve bir onay tıklaması var. Google’ın Tehdit İstihbarat Grubu (GTIG) ve Mandiant tarafından belgelenen bu kampanya, ilk erişim için UNC6040, fidye için UNC6240 olarak takip edildi. Google, Haziran 2025’te kendi Salesforce örneğinin hedef alındığını doğruladı; saldırganlar büyük ölçüde halka açık iş iletişim verilerini aldı. Aynı dalga Chanel ve Pandora ihlalleriyle de ilişkilendirildi; Adidas, Qantas, Allianz Life ve birkaç LVMH markası da hedef olarak belirtildi.

İkinci saldırı yolu, çalışanı tamamen devre dışı bırakıyor. Saldırganlar, müşterilerinin Salesforce ortamlarına OAuth erişimi olan bir üçüncü taraf tedarikçiyi hedef alıyor, bağlantı sırlarını veya token’larını çalıyor ve bunları kullanarak birçok alt örneğe aynı anda sorgu gönderip veri dışa aktarıyor. Trafik, onaylanmış bir entegrasyondan geldiği için oturum açma alarmlarını tetiklemiyor ve normal otomasyonla karışıyor. Microsoft burada üç olaya işaret ediyor: Ağustos 2025’teki Salesloft Drift ihlali, Kasım 2025’teki Gainsight olayı ve Haziran 2026’daki Klue ihlali. Salesloft Drift ihlalinde, saldırganlar Drift AI sohbet entegrasyonuna ait OAuth ve yenileme token’larını çaldı ve bunları Salesforce müşteri ortamlarına karşı kullandı. Google, Drift token hırsızlığının potansiyel olarak 700’den fazla kuruluşu etkileyebileceğini tahmin etti. Salesloft, kök nedenin saldırganın Mart 2025’ten itibaren GitHub hesabına erişmesi olduğunu, bunun da Drift’in AWS ortamına ulaşmak ve token’ları toplamak için kullanıldığını belirledi. Gainsight olayında da benzer bir senaryo yaşandı ve GTIG, 200’den fazla Salesforce örneğini etkileyen kampanyayı ShinyHunters bağlantılı olarak nitelendirdi.

Nasıl Önlem Alınmalı?

Üçüncü saldırı yolu ise hiçbir kimlik bilgisi gerektirmiyor. Microsoft, Salesforce Experience Cloud sitelerinin arkasındaki Aura uç noktalarına karşı şüpheli misafir kullanıcı etkinliklerinde artış gördü. Misafir kullanıcı izinleri yanlış yapılandırıldığında, saldırganlar herhangi bir kimlik doğrulama olmadan Aura işlevselliğine erişebildi. Bu yöntem, diğerlerine göre daha az yaygın olsa da, özellikle geniş misafir erişimi olan kuruluşlar için ciddi bir risk oluşturuyor. Microsoft, bu yolun da ShinyHunters kampanyalarının bir parçası olduğunu ve özellikle perakende ve eğitim sektörlerinde gözlemlendiğini belirtiyor.

Peki, bu saldırılara karşı nasıl korunabilirsiniz? İlk olarak, vishing saldırılarına karşı çalışanları eğitmek kritik. Mandiant’ın önerdiği gibi, yardım masası çalışanlarına gelen aramaları doğrulamadan asla onay vermemeleri ve bilinen güvenli kanallardan geri arama yapmaları öğretilmeli. İkinci olarak, üçüncü taraf entegrasyonlarının OAuth izinlerini düzenli olarak gözden geçirin ve yalnızca gerekli izinleri verin. Microsoft’un yeni araçları, bu tür anormal API etkinliklerini tespit etmeye yardımcı olabilir. Üçüncü olarak, misafir kullanıcı erişimini sıkılaştırın ve yalnızca gerekli olan en düşük ayrıcalıkları verin. Ayrıca, Salesforce loglarını sadece oturum açma olayları için değil, API çağrıları ve veri erişim desenleri için de izlemek, bu tür saldırıları erken aşamada yakalamanıza yardımcı olabilir.

Sonuç olarak, ShinyHunters’ın bu saldırıları, siber güvenliğin artık sadece açıkları kapatmakla ilgili olmadığını, aynı zamanda güven ilişkilerini ve kullanıcı davranışlarını da yönetmek gerektiğini gösteriyor. Salesforce gibi platformlarda, OAuth bağlantıları ve üçüncü taraf entegrasyonları büyük bir saldırı yüzeyi oluşturuyor. Bu nedenle, kuruluşların güvenlik stratejilerini bu yeni tehditlere göre güncellemesi ve hem teknolojik hem de insan faktörünü kapsayan kapsamlı bir yaklaşım benimsemesi hayati önem taşıyor.

Kaynak: thehackernews.com

Paylaş: