החל מחודש יוני 2025 מתרחש קמפיין תקיפה רחב נגד לקוחות של חברת Salesforce, המספקת פתרונות לניהול קשרי לקוחות ועוד.
למעשה יש לנו שני קמפייני תקיפה נפרדים, שנכון לעכשיו לא קשורים אחד לשני, מלבד העובדה שבשניהם מטורגטים לקוחות של Salesforce.
אז מי תוקף את מי ואיך:
קמפיין 1:
קבוצת ShinyHunters (המתוייגת גם כ-UNC6040) מבצעת מתקפות ווישינג, מתחזה לנציגי תמיכה ומשכנעת עובדים לבצע איפוס סיסמה למערכת Salesforce תוך הפנייה לקישור זדוני.
לאחר שהעובד נופל בפח והגישה עוברת לידיים של התוקפים הם שולפים מידע ממערכת Salesforce של הלקוח. לרוב מדובר במאגרי מידע של לקוחות הכוללים, שמות, פרטי יצירת קשר ועוד.
קבוצת ShinyHunters מתפארת גניבת המידע בערוצי טלגרם שונים.
קמפיין 2:
קבוצת UNC6395 משיגה גישה למערכת של Salesloft Drift ושולפת משם טוקנים, באמצעותם היא מתחברת לחשבונות Salesforce, של לקוחות שהגדירו אינטגרציה עם Drift, וגונבת מהם מידע.
(עוד לא ברור לגמרי כרגע כיצד התוקפים השיגו גישה למערכות של Salesloft).
נכון לעכשיו אין וודאות ברורה לקשר בין שני הקמפיינים וחוקרים של גוגל מציגים את זה בינתיים כשני קמפייני תקיפה נפרדים.
כמו כן, למרות שבשני הקמפיינים מעורבים לקוחות של Salesforce חברת Salesforce דואגת לציין כי מערכות החברה לא נפרצו וכי אין חולשה ידועה במערכות שמנוצלת ע"י תוקפים.
מי נפגע עד כה?
ההערכות מדברות על מאות חברות שנפגעו בשני הקמפיינים וההודעות של החברות בשבועות האחרונים זהו רק קצה הקרחון.
בינתיים זוהי רשימה חלקית של החברות שדיווחו על דלף מידע ממערכות Salesforce:
Palo Alto, Zscaler, Google, Cisco, Farmers Insurance, TransUnion, Workday, Adidas, Qantas, Allianz Life, LVMH (Louis Vuitton, Dior, and Tiffany & Co)
