FEHLER!

UNC6040: Gefährliche Vishing-Angriffe auf Salesforce-Nutzer entlarvt

Die IT-Sicherheitsforscher bei Google haben eine kriminelle Gruppe unter dem Namen UNC6040 identifiziert, die sich durch gezielte Angriffe auf Salesforce-Nutzer hervorhebt. Diese Gruppe operiert mit einem raffinierten Ansatz, der Vishing-Techniken und die Ausnutzung von legitimen Supportrollen kombiniert, um an sensible Unternehmensdaten zu gelangen. UNC6040 zeichnet sich durch Geduld und strategisches Vorgehen aus – oft vergehen Monate zwischen der initialen Kompromittierung eines Salesforce-Accounts und dem eigentlichen Datenabzug. Dieses langsame Vorgehen deutet auf mögliche Kollaborationen mit anderen Bedrohungsakteuren hin, die die gestohlenen Informationen weiterverkaufen oder für gezielte Angriffe nutzen könnten.

Die Taktik von UNC6040 basiert primär auf Vishing, wobei die Angreifer sich als IT-Support-Mitarbeiter ausgeben und Opfer durch Anrufe dazu verleiten, zugangsrelevante Daten preiszugeben oder spezielle Okta-Phishing-Panels zu besuchen. Über diese Panels können sie sich mit den gestohlenen Zugangsdaten direkt in Salesforce einloggen und die modifizierte Data-Loader-App hinzufügen, um Daten auszulesen und abzuspeichern. Interessant ist dabei, dass UNC6040 verschiedene Methoden zur Datenexfiltration entwickelt hat. In einem Fall wurden kleine Datenblöcke genutzt, die zwar nur einen Bruchteil der Daten auslesen konnten, bevor sie entdeckt wurden. Ein anderer Fall zeigt eine Strategie mit initialen Test-Abfragen, um schließlich ganze Datenbanktabellen auszulesen. Diese Anpassungsfähigkeit unterstreicht die Bedrohungslage und verdeutlicht, dass klassische Sicherheitsmaßnahmen im ständigen Wandel angepasst werden müssen.

Google betont, dass Vishing trotz seiner Risiken weiterhin effektiv ist, besonders wenn es Salesforce-Systeme ins Visier nimmt. Die Ausbeutung von vertrauten Supportrollen ermöglicht Angreifern den Zugang zu wertvollen Unternehmensdaten. Der Erfolg von UNC6040 zeigt, dass dieser Ansatz nach wie vor potenziell bleibt und Unternehmen aufmerksam bleiben müssen.

Als Gegenmaßnahmen empfiehlt Google ein strategisches Vorgehen mit mehreren Ebenen:

– Prinzip der niedrigsten Zugriffsrechte: Nur notwendige Berechtigungen sollten vergeben werden.
– Restriktive ed-App-Zugriffe: Begrenzte und autorisierte Nutzung von Drittanbieter-Anwendungen.
– IP-basierte Zugriffskontrollen: Sicherung durch geografisch begrenzte Zugriffsnachweise.
– Advanced Security Monitoring und Policy Enforcement mit Salesforce Shield: Verstärkte Überwachung und automatisierte Sicherheitsmaßnahmen innerhalb der Salesforce-Plattform.
– Multi-Faktor-Authentifizierung (MFA): Zusätzliche Schutzschicht für Benutzerkonten.

Durch die Implementierung dieser Maßnahmen können Unternehmen ihre Widerstandsfähigkeit gegen Vishing-Angriffe und den raffinierten Ansatz von Gruppen wie UNC6040 verbessern und so wertvolle Unternehmensdaten schützen.

Schlagwörter: UNC6040 + Google + Vishing

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 5. Juni 2025