Mithilfe von gefälschten it-support-anrufen brachte die gruppe unc6040 mitarbeitende dazu der, ein korrumpiertes Salesforce-tool Herunterzuladen.
Eine Neue Welle von Cyberangriffen auf Salesforce-Kunden Erfasst Aktull Unternehmen Branchen, Darunter Gastgewerbe, Einzelhandel und Bildungswesen. Die Google Threat Intelligence Group (GTIG) Hat Die Angreifer, Die Sich Auf Voice-Phishing (Vishing) Spezialisiert Haben, ALS UNC6040 Identifiziert.
Modifizierte Salesforce-Tools Als Einfallstor
Berichten Zufolge Geben SICH VERTRETRER DER GRUPPE AM TELEFON ALS IT-Support-MitarBeitende Aus und überreden Die Opfer, Eine Modifizierte Version des Salesforce Data Loder Zu Instalrieren. Die Manipulierte Version Nutzt Die OAuth-Basierte Funktion «Connected Apps» von Salesforce Aus, Um Sich Mit der Salesforce-Umbung der Opfer Zu Verbinden. Indem die Opfer Einen von den Angreifenden Bereittellten Verbindungscode auf der setup-seite für verbundène apps eingeben, erhalten die kriminellen direkten zugriff auf umfangreiche datenbestände.
Die Modifizierte Data-chargeder-App Wird dabei häufig mit einem harlos klindenden namen wie «my billet portal» darellt. Ziel ist es, den it-support-Vorwand Glaubwürdiger Erscheinen Zu Lassen. Hierbei Handelt es sich laut den experten von google um eine forme von gezielten social-ingénierie-angriffen, die auf nachlässsigkeiten bei der zugriffskontrolle und schulung der nutzer abzielen. Die Kriminellen Hätten Keine Schwachstelle von Salesforce Ausgeutzt, So Gtig.
Seitliche bewegengen und erpressungsversuche
Sobald Die Bande Erfolgreich dans Die Salesforce-Instanzen Eindedrungen Ist, Bewegt Sie Sich Seitlich Durch Die It-infrastruktur Der Opfer und Greift Weitere Cloud-Dienste An, Darunter
- Okta und
- Microsoft 365.
Dabei werden auch phishing-panels eingesetzt, um weitere zugangsdaten und multi-faktor-uthentifizierungscodes zu erlangen.
Die Experten von gtig Vermuten, Dass unc6040 Eine Partnerschaft Mit Einem Zweiten BedrohungsaktEur Eingegangen Ist, Der den Zugang Zu den Gestohlenen Daten Zu Geld Macht. „Bislang Haben Wir Noch Keine Fälle Gesehen, dans Denen Unc6040 Während Dieser Kampagne Ransomware Eingesetzt Hat », donc gtig-analyst Austin Larsen im interview mit the registre.
Ähnliche Methoden Wie Andere Hackergruppen
Die gestohlenen daten werden Entweder direkt für erpressungen genutzt oder an Andere krinelle gruppen weiterverkauft. Erpressungsversuche Treten Teilweise erst monate nach dem initiale einbruch auf, a été laut gtig auf ein komplexes kriminelles netzwerk hindeutet. UNC6040 Behauptet von Sich Selbst, Dass Sie Kontakte Zur Gruppe Shinyhunters Hätten.
Unabhängig von Möglichen Partnerschaften Setzt Unc6040 Taktiken und Techniken Ein, die ähnlichkeiten mit anderen bekannten gruppen aufweisen wie
- Hybride Vishing-Attacken im Jahr 2024, hybride épaigne
- der Letscall-malware-kampagne à Südkorea und
- Dem perdent l’organisierten kollektiv «le com».
Dennoch Handele es sich laut gtig um eine eigenständige grruppe, die sich durch ihre spezifischen vorgehensweisen unterscheide.
Empfehlungen und Schutzmaßnahmen
Sowohl die Sicherheitsexperten als auch salesforce emprehlen eine reihe von maßnahmen, um sich gegen diese art von angriffen zu schützen. Dazu Gehören:
- Strikte Einhaltung des Prinzips der Geringsten Privilegien Bei Zugriffsrechten;
- Überwachung und kontrolle von Verbundenen applications dans Salesforce;
- Einsatz von ip-Basierten Zugriffsbeschränkungen;
- Verpflichtende Multi-Faktor-Authentifizierung (MFA);
- Schulunggen der Mitarbeiter im umgang mit social-ingénierie-angriffen, Insbesondere Vishing.
