ShinyHunters, Qantas ve Allianz dahil çok sayıda şirketin verilerini Salesforce üzerinden hedef aldı
ShinyHunters isimli siber suç grubu, Qantas, Allianz Life, LVMH ve Adidas gibi firmalara yönelik saldırılarda Salesforce sistemlerini hedef aldı. Saldırılar, telefonla sosyal mühendislik yoluyla bağlantılı uygulamalar aracılığıyla veri erişimi sağlayan kimlik avı kampanyalarıyla gerçekleştirildi. Şirketlerden veri çalındığı doğrulandı, ancak henüz kamuya açık bir sızıntı yaşanmadı.
ShinyHunters Siber Suç Grubu, Önde Gelen Şirketlere Salesforce CRM Saldırıları Düzenliyor
Siber güvenlik kaynaklarına göre, ShinyHunters olarak bilinen siber suç grubu, Qantas, Allianz Life, LVMH ve Adidas gibi önde gelen firmaları hedef alan geniş kapsamlı veri hırsızlığı saldırılarının arkasında yer alıyor. Söz konusu saldırılar, şirketlerin kullandığı Salesforce CRM platformlarına yönelik sosyal mühendislik yöntemleriyle gerçekleştirildi.
Google’ın Tehdit İstihbarat Grubu (GTIG), Haziran 2025'te bu tür saldırıların arttığını ve saldırganların UNC6040 olarak izlendiğini bildirmişti. Bu kapsamda, saldırganlar BT destek personeli gibi davranarak kurbanları telefonla aradı ve onları Salesforce'un bağlı uygulama kurulumu sayfasına yönlendirdi. Kullanıcılardan sahte "bağlantı kodları" girilmesi istendi. Böylece, kötü amaçlı olarak kurgulanmış Data Loader uygulaması kurbanın hesabına bağlanabildi.
Bazı saldırılarda, bu uygulama “My Ticket Portal” adıyla yeniden adlandırılarak daha inandırıcı hale getirildi. Kimlik avı sürecinde ayrıca sahte Okta giriş sayfaları da kullanılarak kullanıcıların kimlik bilgileri ve çok faktörlü kimlik doğrulama (MFA) token'ları da ele geçirildi.
Hedef Olan Şirketler
- LVMH bünyesindeki Louis Vuitton, Dior ve Tiffany & Co., müşteri veritabanlarına yetkisiz erişim sağlandığını doğruladı.
- Allianz Life, 16 Temmuz 2025’te üçüncü taraf bir bulut tabanlı CRM sistemi üzerinden erişim sağlandığını açıkladı.
- Qantas, olayın Salesforce ile ilgili olduğunu doğrulamazken, yerel medya verilerin Salesforce sistemi üzerinden çalındığını bildirdi.
- Adidas da benzer bir CRM saldırısından etkilendiğini duyurdu.
Adli belgeler, saldırıların özellikle Salesforce’un "Accounts" ve "Contacts" tablolarına odaklandığını ortaya koyuyor. Tüm saldırılar aynı kampanyaya işaret ederken, şirketlere gönderilen özel e-postalarda kendilerini "ShinyHunters" olarak tanıtan tehdit aktörlerinin şirketleri özel olarak şantaj yoluyla hedef aldığı belirtildi.
Grup Yapısı ve Saldırı Yöntemleri
ShinyHunters grubu, daha önce Snowflake veri sızıntısı, AT&T, Oracle Cloud, PowerSchool gibi büyük ölçekli olaylarla gündeme gelmişti. Grup, genellikle şirket ağlarına tam erişim sağlamak yerine veri çalımı ve özel şantaj yöntemlerine odaklanıyor.
Bazı güvenlik araştırmacıları, ShinyHunters’ın zaman zaman Scattered Spider olarak bilinen ve daha agresif yöntemler kullanan başka bir grupla örtüşen üyelik yapısına sahip olduğunu düşünüyor. Her iki grubun da Lapsus$ adlı eski hacker kolektifiyle bağlantılı olabileceği iddia ediliyor.
Ayrıca, ShinyHunters’ın bazı durumlarda doğrudan saldırıyı gerçekleştirmeyip, üçüncü tarafların çaldığı verileri komisyon karşılığında pazarlayan bir “extortion-as-a-service” (şantaj hizmeti) grubu olarak faaliyet gösterdiği de öne sürülüyor.
Salesforce: Platform Değil, Kullanıcılar Hedef Alınıyor
Salesforce, yapılan açıklamada sistemlerinde herhangi bir zafiyet olmadığını ve saldırıların tamamen kullanıcılara yönelik sosyal mühendislik yöntemleriyle gerçekleştiğini belirtti.
Şirket, kullanıcıların aşağıdaki güvenlik önlemlerini uygulamasını öneriyor:
- Güvenilen IP aralıklarını zorunlu hale getirme
- En az yetki ilkesine uygun yetkilendirme
- Çok faktörlü kimlik doğrulama (MFA) kullanımı
- Bağlı uygulamalara erişimi sınırlandırma
- Salesforce Shield ile gelişmiş izleme ve olay politikaları kullanımı
- Güvenlik olayları için belirli bir güvenlik iletişim kişisi tanımlama
Kaynak: CUMHA - CUMHUR HABER AJANSI
