FBI, Salesforce platformlarını hedef alan iki önemli tehdit grubu UNC6040 ve UNC6395 hakkında uyarılarda bulundu. Her iki grup da farklı ilk erişim yöntemleriyle Salesforce ortamlarına sızarak veri hırsızlığı faaliyetleri yürütüyor.
UNC6395 ve OAuth Token Saldırıları
UNC6395, Ağustos 2025’te Salesloft Drift uygulaması için ele geçirilen OAuth tokenlarını kullanarak Salesforce örneklerine erişim sağlayan yaygın bir veri hırsızlığı kampanyasıyla ilişkilendirildi. Salesloft, Mart-Haziran 2025 arasında GitHub hesaplarının ihlal edilmesi sonucu bu saldırının mümkün hale geldiğini açıkladı. İhlal sonrası şirket, Drift altyapısını izole edip yapay zeka destekli sohbet botunu çevrimdışı aldı ve çok faktörlü kimlik doğrulama ile GitHub sertleştirme önlemleri uygulamaya başladı.
Salesloft, Drift uygulamasının belirli bölümlerini geçici olarak devre dışı bırakmak ve kimlik bilgilerini yenilemek dahil olmak üzere güvenlik yapılandırmalarını güçlendirmeye odaklandığını belirtti. Tüm Drift müşterilerine, entegrasyonlarını ve verilerini potansiyel risk açısından değerlendirmeleri tavsiye edildi.
UNC6040: Vishing ve Veri Sızıntısı Taktikleri
FBI’nın ikinci dikkat çektiği grup UNC6040, Ekim 2024’ten beri aktif olup Google tarafından finansal amaçlı bir tehdit kümesi olarak sınıflandırıldı. Bu grup, değiştirilmiş Salesforce Data Loader uygulamaları ve özel Python betikleri kullanarak kurbanların Salesforce portallarına sızmakta ve büyük veri setlerini dışa aktarmakta. Vishing kampanyalarıyla sosyal mühendislik saldırıları düzenleyen UNC6040, kurbanları mobil cihazlarından veya iş bilgisayarlarından oltalama panellerine yönlendirmekte.
Google, UNC6040 saldırılarının ardından UNC6240 olarak izlenen ve kendilerini ShinyHunters olarak tanıtan başka bir grubun şantaj faaliyetlerinde bulunduğunu bildirdi. ShinyHunters’ın veri sızıntı sitesi açarak şantaj taktiklerini artırmaya hazırlandığı ifade edildi.
LAPSUS$, ShinyHunters ve Siber Suç Gruplarının Dinamikleri
Son dönemde ShinyHunters, Scattered Spider ve LAPSUS$ gibi gruplar suç faaliyetlerini birleştirme girişimlerinde bulundu. Ancak 12 Eylül 2025’te LAPSUS$ üyeleri Telegram üzerinden “scattered LAPSUS$ hunters 4.0” adıyla kapandıklarını duyurdu. Grup, hedeflerine ulaştıklarını ve geri çekildiklerini belirtti. Uzmanlar ise bu tür açıklamaların genellikle kalıcı olmadığını, grupların yeniden yapılanarak ortaya çıkabileceğini vurguluyor.
Unit 42 Danışmanlık Kıdemli Başkan Yardımcısı Sam Rubin, tutuklamaların geri çekilmeye neden olabileceğini ancak tehditlerin devam ettiğini, çalınan verilerin yeniden ortaya çıkabileceğini ve tespit edilmemiş arka kapıların varlığının risk oluşturduğunu belirtti. Siber güvenlik profesyonelleri, tehditlerin yok olmadığını sadece evrildiğini göz önünde bulundurarak tetikte kalmalı.