Χάκερ στοχεύουν λογαριασμούς Salesforce σε επιθέσεις εκβιασμού
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ στοχεύουν λογαριασμούς Salesforce σε επιθέσεις εκβιασμού
https://www.secnews.gr/650255/hacker-stoxevoun-logariasmous-salesforce-epitheseis-ekviasmou/
Jun 5th 2025, 13:49
by Absenta Mia
Η Google έχει παρατηρήσει χάκερ που ισχυρίζονται ότι ανήκουν στην ομάδα ShinyHunters να διεξάγουν επιθέσεις social engineering κατά πολυεθνικών εταιρειών με σκοπό την κλοπή δεδομένων από τις πλατφόρμες Salesforce των οργανισμών.
Δείτε επίσης: Η επίθεση DollyWay World Domination χάκαρε πάνω από 20.000 sites
Σύμφωνα με την Ομάδα Πληροφοριών Απειλών της Google (GTIG), η οποία παρακολουθεί αυτό το σύμπλεγμα απειλής με την ονομασία "UNC6040", οι επιθέσεις στοχεύουν σε αγγλόφωνους υπαλλήλους μέσω τηλεφωνικής απάτης (voice phishing), προκειμένου να τους παραπλανήσουν ώστε να συνδεθούν με μια τροποποιημένη έκδοση της εφαρμογής Data Loader του Salesforce.
Οι επιτιθέμενοι προσποιούνται ότι είναι προσωπικό υποστήριξης πληροφορικής και ζητούν από τον υπάλληλο-στόχο να αποδεχθεί τη σύνδεση με την εφαρμογή Salesforce Data Loader, ένα εργαλείο που επιτρέπει στους χρήστες να εισάγουν, να εξάγουν, να ενημερώνουν ή να διαγράφουν δεδομένα σε περιβάλλοντα Salesforce.
Οι οργανισμοί-στόχοι χρησιμοποιούν ήδη την πλατφόρμα διαχείρισης πελατειακών σχέσεων (CRM) Salesforce που βασίζεται στο cloud, γεγονός που καθιστά το κακόβουλο αίτημα εγκατάστασης του εργαλείου να φαίνεται νόμιμο στο πλαίσιο της επίθεσης.
Στις επιθέσεις της ομάδας UNC6040, η εφαρμογή χρησιμοποιείται για την εξαγωγή δεδομένων που είναι αποθηκευμένα σε περιβάλλοντα Salesforce και στη συνέχεια για την πλευρική κίνηση προς συνδεδεμένες πλατφόρμες, όπως οι Okta, Microsoft 365 και Workplace.
Δείτε ακόμα: The North Face: Credential stuffing επιθέσεις επέτρεψαν παραβίαση δεδομένων
Η πρόσβαση σε αυτές τις πρόσθετες πλατφόρμες cloud επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε ακόμη πιο ευαίσθητες πληροφορίες, όπως εμπιστευτικές επικοινωνίες, διακριτικά εξουσιοδότησης, έγγραφα και άλλα. Σε ορισμένες περιπτώσεις, η διαδικασία εξαγωγής δεδομένων διακόπηκε πρόωρα, καθώς τα συστήματα ασφαλείας ανίχνευσαν μη εξουσιοδοτημένη δραστηριότητα και ανέστειλαν την πρόσβαση. Οι επιτιθέμενοι φαίνεται να γνώριζαν αυτόν τον κίνδυνο και πειραματίζονταν με διαφορετικά μεγέθη πακέτων πριν κλιμακώσουν την επίθεση.
Χάκερ στοχεύουν λογαριασμούς Salesforce σε επιθέσεις εκβιασμού
Η ομάδα UNC6040 χρησιμοποίησε επίσης τροποποιημένες εκδόσεις της εφαρμογής Salesforce Data Loader, δίνοντάς τους ονόματα που ταίριαζαν στο πλαίσιο του social engineering. Για παράδειγμα, την μετονόμασαν σε "My Ticket Portal" και παραπλάνησαν τα θύματα ώστε να εγκαταστήσουν την εφαρμογή στους υπολογιστές τους κατά τη διάρκεια υποτιθέμενης τηλεφωνικής κλήσης υποστήριξης.
Για οργανισμούς που χρησιμοποιούν το Salesforce, η Google συνιστά να περιοριστούν τα δικαιώματα με την επιλογή "API Enabled", να ελεγχθεί αυστηρά η εξουσιοδότηση εγκατάστασης εφαρμογών και να αποκλειστεί η πρόσβαση από εμπορικά VPN, όπως το Mullvad.
Περισσότερες πληροφορίες σχετικά με την προστασία του Salesforce από επιθέσεις social engineering είναι διαθέσιμες εδώ.
Δείτε επίσης: Επιθέσεις BitM – τι είναι και πώς θα προστατευτείτε
Στην περίπτωση της Salesforce, επειδή πρόκειται για μια εξαιρετικά διαδεδομένη cloud πλατφόρμα που διαχειρίζεται τεράστιες ποσότητες ευαίσθητων επιχειρησιακών δεδομένων, είναι συχνός στόχος τέτοιων επιθέσεων. Για τον λόγο αυτό, είναι κρίσιμο οι οργανισμοί να επενδύσουν όχι μόνο σε τεχνικά μέτρα προστασίας (όπως περιορισμός API δικαιωμάτων ή φραγή σε VPN), αλλά και στην εκπαίδευση του προσωπικού ώστε να αναγνωρίζει και να αποφεύγει τις παγίδες social engineering.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Χάκερ στοχεύουν λογαριασμούς Salesforce σε επιθέσεις εκβιασμού
https://www.secnews.gr/650255/hacker-stoxevoun-logariasmous-salesforce-epitheseis-ekviasmou/
Jun 5th 2025, 13:49
by Absenta Mia
Η Google έχει παρατηρήσει χάκερ που ισχυρίζονται ότι ανήκουν στην ομάδα ShinyHunters να διεξάγουν επιθέσεις social engineering κατά πολυεθνικών εταιρειών με σκοπό την κλοπή δεδομένων από τις πλατφόρμες Salesforce των οργανισμών.
Δείτε επίσης: Η επίθεση DollyWay World Domination χάκαρε πάνω από 20.000 sites
Σύμφωνα με την Ομάδα Πληροφοριών Απειλών της Google (GTIG), η οποία παρακολουθεί αυτό το σύμπλεγμα απειλής με την ονομασία "UNC6040", οι επιθέσεις στοχεύουν σε αγγλόφωνους υπαλλήλους μέσω τηλεφωνικής απάτης (voice phishing), προκειμένου να τους παραπλανήσουν ώστε να συνδεθούν με μια τροποποιημένη έκδοση της εφαρμογής Data Loader του Salesforce.
Οι επιτιθέμενοι προσποιούνται ότι είναι προσωπικό υποστήριξης πληροφορικής και ζητούν από τον υπάλληλο-στόχο να αποδεχθεί τη σύνδεση με την εφαρμογή Salesforce Data Loader, ένα εργαλείο που επιτρέπει στους χρήστες να εισάγουν, να εξάγουν, να ενημερώνουν ή να διαγράφουν δεδομένα σε περιβάλλοντα Salesforce.
Οι οργανισμοί-στόχοι χρησιμοποιούν ήδη την πλατφόρμα διαχείρισης πελατειακών σχέσεων (CRM) Salesforce που βασίζεται στο cloud, γεγονός που καθιστά το κακόβουλο αίτημα εγκατάστασης του εργαλείου να φαίνεται νόμιμο στο πλαίσιο της επίθεσης.
Στις επιθέσεις της ομάδας UNC6040, η εφαρμογή χρησιμοποιείται για την εξαγωγή δεδομένων που είναι αποθηκευμένα σε περιβάλλοντα Salesforce και στη συνέχεια για την πλευρική κίνηση προς συνδεδεμένες πλατφόρμες, όπως οι Okta, Microsoft 365 και Workplace.
Δείτε ακόμα: The North Face: Credential stuffing επιθέσεις επέτρεψαν παραβίαση δεδομένων
Η πρόσβαση σε αυτές τις πρόσθετες πλατφόρμες cloud επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε ακόμη πιο ευαίσθητες πληροφορίες, όπως εμπιστευτικές επικοινωνίες, διακριτικά εξουσιοδότησης, έγγραφα και άλλα. Σε ορισμένες περιπτώσεις, η διαδικασία εξαγωγής δεδομένων διακόπηκε πρόωρα, καθώς τα συστήματα ασφαλείας ανίχνευσαν μη εξουσιοδοτημένη δραστηριότητα και ανέστειλαν την πρόσβαση. Οι επιτιθέμενοι φαίνεται να γνώριζαν αυτόν τον κίνδυνο και πειραματίζονταν με διαφορετικά μεγέθη πακέτων πριν κλιμακώσουν την επίθεση.
Χάκερ στοχεύουν λογαριασμούς Salesforce σε επιθέσεις εκβιασμού
Η ομάδα UNC6040 χρησιμοποίησε επίσης τροποποιημένες εκδόσεις της εφαρμογής Salesforce Data Loader, δίνοντάς τους ονόματα που ταίριαζαν στο πλαίσιο του social engineering. Για παράδειγμα, την μετονόμασαν σε "My Ticket Portal" και παραπλάνησαν τα θύματα ώστε να εγκαταστήσουν την εφαρμογή στους υπολογιστές τους κατά τη διάρκεια υποτιθέμενης τηλεφωνικής κλήσης υποστήριξης.
Για οργανισμούς που χρησιμοποιούν το Salesforce, η Google συνιστά να περιοριστούν τα δικαιώματα με την επιλογή "API Enabled", να ελεγχθεί αυστηρά η εξουσιοδότηση εγκατάστασης εφαρμογών και να αποκλειστεί η πρόσβαση από εμπορικά VPN, όπως το Mullvad.
Περισσότερες πληροφορίες σχετικά με την προστασία του Salesforce από επιθέσεις social engineering είναι διαθέσιμες εδώ.
Δείτε επίσης: Επιθέσεις BitM – τι είναι και πώς θα προστατευτείτε
Στην περίπτωση της Salesforce, επειδή πρόκειται για μια εξαιρετικά διαδεδομένη cloud πλατφόρμα που διαχειρίζεται τεράστιες ποσότητες ευαίσθητων επιχειρησιακών δεδομένων, είναι συχνός στόχος τέτοιων επιθέσεων. Για τον λόγο αυτό, είναι κρίσιμο οι οργανισμοί να επενδύσουν όχι μόνο σε τεχνικά μέτρα προστασίας (όπως περιορισμός API δικαιωμάτων ή φραγή σε VPN), αλλά και στην εκπαίδευση του προσωπικού ώστε να αναγνωρίζει και να αποφεύγει τις παγίδες social engineering.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz