Eine kriminelle Gruppe, die Googles Threat Intelligence Group (GTIG) UNC6040 nennt – was nichts mit der SMD-Bauform mit 6 mal 4 mm Größe zu tun hat – und deren Aktivitäten die IT-Forscher beobachten, greift Salesforce-Nutzerinnen und -Nutzer an, um Daten zu stehlen und die betroffenen Unternehmen damit zu erpressen. Google beschreibt die Gruppierung dabei als opportunistisch und finanziell motiviert, mit Spezialisierung auf Vishing (Voice Phishing).
In der Analyse des GTIG schreiben die Autoren, dass UNC6040 Kampagnen speziell darauf auslegt, die Salesforce-Instanzen von Organisationen zu kompromittieren, um im großen Stil Daten abzugreifen und im Anschluss die Organisation zu erpressen. In den vergangenen Monaten sei die Gruppe mehrfach damit erfolgreich gewesen. Die Mitglieder gaben sich dabei bei Telefonanrufen als IT-Support-Personal aus und überzeugten Mitarbeiter mittels Social Engineering, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen – in allen beobachteten Fällen haben die Angreifer die Endnutzer manipuliert und keine etwaige Sicherheitslücke in Salesforce missbraucht. Im Visier stehen meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.
Die Angreifer verleiten die Opfer dazu, eine bösartige Connected-App für das Salesforce-Portal ihres Unternehmens zu autorisieren. Bei einem Vishing-Anruf leiten die Täter die Opfer zu der Salesforce Connected-App-Setup-Seite, um eine Version der Data-Loader-App mit vom Original abweichenden Namen oder Branding zu legitimieren. Bei dieser Anwendung handelt es sich häufig um eine modifizierte Variante des Data Loader von Salesforce, die nicht von Salesforce autorisiert wurde. Das gibt der UNC6040-Gruppe schließlich umfassende Möglichkeiten, sensible Informationen direkt aus der kompromittierten Salesforce-Umgebung des Opfers zuzugreifen, abzufragen und auszuleiten.
Die Angreifer zeigen sich oftmals von ihrer geduldigen Seite. Teils vergingen Monate nach der Kompromittierung, bis der unbefugte Datenabzug erfolgte. Google schließt daraus, dass UNC6040 sich mit weiteren Bedrohungsakteuren zusammengeschlossen hat, um die erbeuteten Daten zu monetarisieren.
Die kriminelle Vereinigung nutzt Infrastruktur zum Zugriff auf Salesforce-Apps, die auch ein Okta-Phishing-Panel hostet. Bei den Anrufen haben die Täter die Opfer dazu verleitet, dieses mit ihrem Smartphone oder Arbeits-PC zu besuchen. Dabei haben sie direkt die Zugangsdaten und Multifaktor-Authentifizierungscodes der Opfer abgefragt, um sich anzumelden und die Salesforce-Data-Loader-App hinzuzufügen und damit die Daten zu exfiltrieren.
Bei der modifzierten Data-Loader-App haben sich die Kriminellen offenbar herangetastet: In einer Instanz haben die Angreifer kleine Datenblöcke zur Exfiltration genutzt. Damit konnten sie vor ihrer Entdeckung jedoch lediglich zehn Prozent der Daten abgreifen. Ein anderer Fall habe zunächst zahlreiche Test-Abfragen mit kleinen Datenblöcken gestartet, um dann ganze Datenbanktabellen auszuleiten.
Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen. Umfragen immer laden
Kommentare