A Google Threat Intelligence Group (GTIG) bejelentette, hogy új, kifinomult kibertámadások zajlanak több nemzetközi vállalat Salesforce környezetei ellen. A támadások mögött a UNC6040 néven nyilvántartott pénzügyi indíttatású hackercsoport áll, amely kapcsolatban lehet a hírhedt ShinyHunters csoporttal is.
🔍 Hogyan zajlik a támadás?
A támadók a social engineering egyik formáját, az úgynevezett vishinget (voice phishing) használják, vagyis telefonon keresztül adják ki magukat IT-támogatónak, hogy megtévesszék az angolul beszélő dolgozókat.
⚙️ Fő támadási módszer:
- A támadók ráveszik az áldozatokat, hogy töltsenek le egy manipulált Salesforce Data Loader alkalmazást.
- Ez az eszköz egy legitim CRM adatkezelő – de ebben az esetben módosítva van.
- A felhasználó megad egy összekötő kódot, amely hozzáköti az alkalmazást a vállalat Salesforce-fiókjához.
- A támadók adatokat szivárogtatnak ki a fiókból, majd laterális mozgással továbbjutnak más szolgáltatásokhoz is, mint pl.:
- Okta
- Microsoft 365
- Meta Workplace
🎭 Támadási technikák és elkerülési módszerek
- Álnevek: a rosszindulatú alkalmazás neve pl. „My Ticket Portal”, így nem kelt gyanút.
- Mullvad VPN IP-címeket használnak, hogy elrejtsék az adatmozgásokat.
- Csomagméret-változtatás segíti az IDS/IPS rendszerek kijátszását.
- Egyes esetekben hamisított Okta bejelentkező oldalakkal próbálkoznak – ez a Scattered Spider és The Com módszereire is emlékeztet.
💣 Zsarolás: hetekkel később jön
- A kezdeti támadás után hetek vagy hónapok múlva lépnek kapcsolatba az áldozattal, adatlopásból zsarolás lesz.
- A zsarolók ShinyHunters névvel jelentkeznek, utalva a korábban elhíresült hackercsoportra.
🔐 Salesforce nyilatkozata
A Salesforce megerősítette, hogy:
„A támadás nem platformhiba, hanem célzott social engineering kampány.”
Salesforce védekezési ajánlásai:
- ✅ Kötelezővé tenni a többlépcsős hitelesítést (MFA)
- ✅ API-hozzáférések korlátozása
- ✅ Alkalmazás-telepítések felügyelete
- ✅ VPN-ről való belépések blokkolása (pl. Mullvad, ProtonVPN stb.)
🕵️♂️ ShinyHunters: ismerős név a sötét webről
A ShinyHunters egy feketekalapos hackercsoport, amely 2020 óta több százmillió felhasználói rekordot szivárogtatott ki, köztük a következő platformoktól:
📉 Jelentősebb adatlopások:
- AT&T (2021–2024) – 110+ millió ügyféladat
- Tokopedia – 91M rekord
- Wishbone, Wattpad, Pluto TV, Pixlr, Bonobos – milliós adatszivárgások
- Microsoft (2020) – 500GB forráskód
- Snowflake, Truist Bank, Santander, Neiman Marcus, Twilio, Ticketmaster – 2024-es támadássorozat
✅ Mit tehetünk?
- Ne telepítsünk nem hivatalos Salesforce-alkalmazásokat
- Képezze a munkavállalókat a vishing és social engineering felismerésére
- Monitorozza az API-hívásokat és VPN forgalmat
- Ellenőrizze a „connected apps” jogosultságokat Salesforce admin oldalon
