Salesforce-User in mehreren Branchen wurden Opfer einer gezielten Vishing-Attacke.
JHVEPhoto – shutterstock.com
Eine neue Welle von Cyberangriffen auf Salesforce-Kunden erfasst aktuell Unternehmen verschiedener Branchen, darunter Gastgewerbe, Einzelhandel und Bildungswesen. Die Google Threat Intelligence Group (GTIG) hat die Angreifer, die sich auf Voice-Phishing (Vishing) spezialisiert haben, als UNC6040 identifiziert.
Modifizierte Salesforce-Tools als Einfallstor
Berichten zufolge geben sich Vertreter der Gruppe am Telefon als IT-Support-Mitarbeitende aus und überreden die Opfer, eine modifizierte Version des Salesforce Data Loader zu installieren. Die manipulierte Version nutzt die OAuth-basierte Funktion „Connected Apps“ von Salesforce aus, um sich mit der Salesforce-Umgebung der Opfer zu verbinden. Indem die Opfer einen von den Angreifenden bereitgestellten Verbindungscode auf der Setup-Seite für verbundene Apps eingeben, erhalten die Kriminellen direkten Zugriff auf umfangreiche Datenbestände.
Die modifizierte Data-Loader-App wird dabei häufig mit einem harmlos klingenden Namen wie „My Ticket Portal“ dargestellt. Ziel ist es, den IT-Support-Vorwand glaubwürdiger erscheinen zu lassen. Hierbei handelt es sich laut den Experten von Google um eine Form von gezielten Social-Engineering-Angriffen, die auf Nachlässigkeiten bei der Zugriffskontrolle und Schulung der Nutzer abzielen. Die Kriminellen hätten keine Schwachstelle von Salesforce ausgenutzt, so GTIG.
Seitliche Bewegungen und Erpressungsversuche
Sobald die Bande erfolgreich in die Salesforce-Instanzen eingedrungen ist, bewegt sie sich seitlich durch die IT-Infrastruktur der Opfer und greift weitere Cloud-Dienste an, darunter
- Okta und
- Microsoft 365.
Dabei werden auch Phishing-Panels eingesetzt, um weitere Zugangsdaten und Multi-Faktor-Authentifizierungscodes zu erlangen.
Die Experten von GTIG vermuten, dass UNC6040 eine Partnerschaft mit einem zweiten Bedrohungsakteur eingegangen ist, der den Zugang zu den gestohlenen Daten zu Geld macht. „Bislang haben wir noch keine Fälle gesehen, in denen UNC6040 während dieser Kampagne Ransomware eingesetzt hat“, so GTIG-Analyst Austin Larsen im Interview mit The Register.
Ähnliche Methoden wie andere Hackergruppen
Die gestohlenen Daten werden entweder direkt für Erpressungen genutzt oder an andere kriminelle Gruppen weiterverkauft. Erpressungsversuche treten teilweise erst Monate nach dem initialen Einbruch auf, was laut GTIG auf ein komplexes kriminelles Netzwerk hindeutet. UNC6040 behauptet von sich selbst, dass sie Kontakte zur Gruppe ShinyHunters hätten.
Unabhängig von möglichen Partnerschaften setzt UNC6040 Taktiken und Techniken ein, die Ähnlichkeiten mit anderen bekannten Gruppen aufweisen wie
- Scattered Spiders hybride Vishing-Attacken im Jahr 2024,
- der Letscall-Malware-Kampagne in Südkorea und
- dem lose organisierten Kollektiv „The Com“.
Dennoch handele es sich laut GTIG um eine eigenständige Gruppe, die sich durch ihre spezifischen Vorgehensweisen unterscheide.
Empfehlungen und Schutzmaßnahmen
Sowohl die Sicherheitsexperten als auch Salesforce empfehlen eine Reihe von Maßnahmen, um sich gegen diese Art von Angriffen zu schützen. Dazu gehören:
- Strikte Einhaltung des Prinzips der geringsten Privilegien bei Zugriffsrechten;
- Überwachung und Kontrolle von verbundenen Apps in Salesforce;
- Einsatz von IP-basierten Zugriffsbeschränkungen;
- Verpflichtende Multi-Faktor-Authentifizierung (MFA);
- Schulungen der Mitarbeiter im Umgang mit Social-Engineering-Angriffen, insbesondere Vishing.
The original article found on CISOs beware: genAI use is outpacing security controls | CSO Online Read More
