Újabb incidens a Google házatáján...

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

Beküldte balacy -

Google megerősíti belső adatvesztését – a ShinyHunters zsarolóakciója a Salesforce-felhasználókat fenyegeti

A Google elismerte, hogy egyik belső Salesforce-rendszerük is érintett volt abban a kibertámadás-sorozatban, amelynek célpontjai között világszerte vállalatok szerepelnek. A támadók – akik a hírhedt ShinyHunters néven azonosítják magukat – zsarolással próbálnak pénzt kicsikarni az érintett szervezetektől.

A zsarolási kampány új szintre lépett

Az elmúlt hetekben fokozódott az a zsarolóhadjárat, amelyet a Google UNC6240 néven követ nyomon saját Kiberfenyegetettség-figyelő Csoportján (Google Threat Intelligence Group, röviden GTIG) keresztül. A támadók fenyegető e-maileket és telefonhívásokat küldenek az áldozatoknak, 72 órán belüli Bitcoin-fizetést követelve, különben nyilvánosságra hozzák az ellopott adatokat.

A Google belső rendszere is célponttá vált

A Google frissítette korábbi közleményét, amely szerint 2025 júniusában egyik saját belső Salesforce példánya is áldozatul esett az UNC6040 tevékenységének. Ez a példány kis- és középvállalkozásokkal kapcsolatos kapcsolattartási adatokat és jegyzeteket tartalmazott. A Google szerint bár az adatszivárgás ideje rövid volt, és főként nyilvános üzleti információkat érintett, az eset rávilágít a támadássorozat kifinomultságára és célzott jellegére.

 

Az adatszivárgás mögötti módszerek

A GTIG szerint az UNC6040 egy pénzügyi motivációjú támadócsoport, amely vishing (hangalapú adathalászat) módszerrel veszi rá a dolgozókat arra, hogy OAuth-hozzáférést adjanak rosszindulatú „kapcsolt alkalmazásoknak” (connected apps) a Salesforce környezetükben. Ezek az alkalmazások többnyire a Salesforce Data Loader eszközének módosított vagy álcázott változatai, amelyeken keresztül a támadók nagy mennyiségű adatot képesek kimenteni, anélkül, hogy a Salesforce rendszerének sebezhetőségét kihasználnák.

A zsarolási fázisban – amelyet az UNC6240 klaszter vezényel – hónapokkal a tényleges betörés után keresik meg az áldozatokat. Az e-mailek többek között az alábbi címekről érkeznek:
shinycorp\@tuta[.]com és shinygroup\@tuta[.]com.
A támadók kilátásba helyezik a lopott adatok kiszivárogtatását, ha nem teljesülnek a követeléseik. Bár nem bizonyított, hogy a csoport valóban kapcsolatban állna az eredeti ShinyHunters nevű hackercsoporttal, a névhasználat vélhetően pszichológiai nyomásgyakorlásként szolgál, tekintve a ShinyHunters hírhedt múltját több nagy volumenű adatszivárgásban.

Lehetséges további eszkaláció: nyilvános adatszivárogtató oldal

A GTIG figyelmeztet, hogy az UNC6240 adatszivárogtató oldalt (Data Leak Site, DLS) készül indítani. Ez újabb komoly reputációs és jogi kockázatokat jelentene az érintett vállalatok számára, mivel az adatok így széles nyilvánosság elé kerülnének, nem csupán a zsarolókkal való kommunikáció során.

Hogyan zajlik a támadás technikailag?

A támadók meghívást színlelő támogatói hívásokkal keresik meg a célpontokat, gyakran olyan alkalmazásokat mutatva be, mint például a „My Ticket Portal”, amelyek valójában rosszindulatú kapcsolt alkalmazások. A hozzáférést megszerezve a támadók Python-alapú szkriptekkel mentik ki az adatokat, közben olyan anonimizáló eszközöket használnak, mint a Mullvad VPN vagy a TOR-hálózat, hogy eltüntessék nyomukat.

Az elkövetők az utóbbi időben már nem csak egyszerű webmail-címeket használnak az alkalmazások regisztrálásához, hanem kompromittált vállalati fiókokon keresztül hoznak létre egyedi alkalmazásokat. A támadások során Okta phishing paneleket is bevetnek, gyakran a hívás közepén küldve el azokat, így még a többfaktoros hitelesítést (MFA) is meg tudják kerülni.

Ezek a módszerek feltűnő hasonlóságot mutatnak az úgynevezett „The Com” nevű kiberbűnöző közösség által használt taktikákkal, különösen az IT-támogatásnak álcázott hívásokkal és a felhőalapú azonosítási platformok – mint az Okta és a Microsoft 365 – célba vételével.

Védekezési javaslatok a GTIG részéről

A Google fenyegetettség-figyelő csapata az alábbi intézkedések bevezetését javasolja a vállalatok számára:

  • Minimális jogosultságok alkalmazása a Data Loader és az API-hozzáférés terén.
  • Kapcsolt alkalmazások szigorú ellenőrzése és engedélyezése.
  • IP-cím tartomány szerinti hozzáférés-korlátozás.
  • A Salesforce Shield használata az anomáliák észleléséhez.
  • Erős, szervezet szintű többfaktoros hitelesítés, amely mellett a felhasználók képzése is kulcsfontosságú a társadalmi manipulációs (social engineering) taktikák felismeréséhez

Szómagyarázat

  • Salesforce – Felhőalapú ügyfélkapcsolat-kezelő (CRM) platform, amelyet világszerte használnak értékesítési, marketing- és ügyfélszolgálati célokra.
  • Data Loader – Salesforce-eszköz nagy mennyiségű adat importálásához és exportálásához.
  • OAuth – Nyílt szabványú hitelesítési protokoll, amely lehetővé teszi harmadik fél alkalmazások számára, hogy korlátozott hozzáférést kapjanak a felhasználó adataihoz anélkül, hogy jelszót kellene megadniuk.
  • Connected App – Salesforce-alkalmazás, amely más rendszerekkel integrálható, és képes adatokat kezelni a Salesforce-fiókokban.
  • Vishing – Telefonos adathalászat, amelyben a támadó meggyőzéssel próbál érzékeny információkat megszerezni.
  • ShinyHunters – Hírhedt kiberbűnöző csoport, amely számos nagy adatszivárgásért volt már felelős.
  • DLS (Data Leak Site) – Nyilvános vagy félig nyilvános weboldal, ahol a támadók kiszivárogtatott adatokat tesznek közzé.
  • Okta – Felhőalapú identitáskezelő platform, gyakran használt nagyvállalatoknál.
  • MFA (Multi-Factor Authentication) – Többlépcsős azonosítás, amely növeli a fiók biztonságát.
  • Social engineering – Társadalmi manipuláció, amikor a támadó emberi viselkedés kihasználásával jut hozzá információkhoz vagy jogosultságokhoz.

További részletek és frissítések elérhetők a Google hivatalos közleményében.