Vishing-Angriffe kompromittieren Salesforce-Instanzen.
Die Google Threat Intelligence Group (GTIG) hat neue Recherchen über die finanziell motivierte Hackergruppe UNC6040 veröffentlicht, die sich auf Voice-Phishing-Kampagnen (Vishing) spezialisiert hat. Die Gruppe kompromittiert Salesforce-Instanzen in Europa und Nord- und Südamerika.
Sie bringt Mitarbeiter in Unternehmen dazu, modifizierte Apps zu installieren, die mit Salesforce verbunden sind, um Daten zu stehlen. In allen beobachteten Fällen haben die Angreifer die Anwender beeinflusst – sie haben keine Salesforce-eigene Schwachstelle ausgenutzt.
Vishing-Kampagne: Das Wichtigste auf einen Blick
- Vishing als Angriffsvektor: Die Akteure von UNC6040 geben sich am Telefon als Mitarbeiter des IT-Support aus und bringen Angestellte dazu, modifizierte (nicht von Salesforce autorisierte) Anwendungen zu installieren, die mit Salesforce verbunden sind – häufig Data Loader-Varianten. Dadurch erhält UNC6040 Zugang zu sensiblen Daten und kann in andere Cloud-Dienste und interne Unternehmensnetzwerke eindringen. Diese Methodik, die Data Loader-Funktionen durch abgeänderte Apps zu missbrauchen, hat Salesforce bereits in seinen Leitlinien zum Schutz von Salesforce-Umgebungen beschrieben.
- Manipulation der User, nicht Anfälligkeit: Es ist wichtig zu wissen, dass die Angreifer das Vertrauen der Endnutzer ausnutzen – keine Salesforce-Schwachstelle.
- Auswirkungen: Aktuell schätzt GTIG, dass eine begrenzte Anzahl von etwa 20 Organisationen von diesen Aktivitäten betroffen ist. Die Kampagne von UNC6040 hat vor einigen Monaten begonnen und ist weiterhin aktiv.
- Zielsetzung: Die GTIG-Experten beschreiben UNC6040 als „opportunistisch“ und zu den Zielbranchen gehören das Gastgewerbe, der Einzelhandel, das Bildungswesen und verschiedene andere Sektoren in Europa und Nord- und Südamerika.
- Erpressungsdynamik: Organisationen werden teilweise erst Monate nach dem ersten Einbruch erpresst. Das könnte darauf hindeuten, dass UNC6040 eine Partnerschaft mit einem zweiten Bedrohungsakteur eingegangen ist, der die gestohlenen Daten zu Geld macht.
- Geschäftsgebaren: Laut den GTIG-Experten haben Hacker von UNC6040 bei Erpressungsversuchen behauptet, zu anderen Gruppen wie ShinyHunters zu gehören – wahrscheinlich um den Druck auf die Opfer zu erhöhen. Die GTIG hat weitreichende Überschneidungen festgestellt zwischen der Infrastruktur sowie den TTPs von UNC6040 und Aktivitäten der Untergrundgemeinschaft „The Com“, einem losen Zusammenschluss von Cyberkriminellen (UNC3944 / Scattered Spider ist Teil desselben Ökosystems). GTIG hat beobachtet, dass UNC6040 Okta-Phishing-Panels verwendet, direkt MFA-Codes (Multi-Faktor-Authentifizierung) anfordert und Mullvad-VPN-IPs für die Datenexfiltration nutzt.
