Die IT-Sicherheitsforscher bei Google haben eine kriminelle Gruppe unter dem Namen UNC6040 identifiziert, die sich durch gezielte Angriffe auf Salesforce-Nutzer hervorhebt. Diese Gruppe operiert mit einem raffinierten Ansatz, der Vishing-Techniken und die Ausnutzung von legitimen Supportrollen kombiniert, um an sensible Unternehmensdaten zu gelangen. UNC6040 zeichnet sich durch Geduld und strategisches Vorgehen aus \u2013 oft vergehen Monate zwischen der initialen Kompromittierung eines Salesforce-Accounts und dem eigentlichen Datenabzug. Dieses langsame Vorgehen deutet auf m\u00f6gliche Kollaborationen mit anderen Bedrohungsakteuren hin, die die gestohlenen Informationen weiterverkaufen oder f\u00fcr gezielte Angriffe nutzen k\u00f6nnten. <\/p>\n
Die Taktik von UNC6040 basiert prim\u00e4r auf Vishing, wobei die Angreifer sich als IT-Support-Mitarbeiter ausgeben und Opfer durch Anrufe dazu verleiten, zugangsrelevante Daten preiszugeben oder spezielle Okta-Phishing-Panels zu besuchen. \u00dcber diese Panels k\u00f6nnen sie sich mit den gestohlenen Zugangsdaten direkt in Salesforce einloggen und die modifizierte Data-Loader-App hinzuf\u00fcgen, um Daten auszulesen und abzuspeichern. Interessant ist dabei, dass UNC6040 verschiedene Methoden zur Datenexfiltration entwickelt hat. In einem Fall wurden kleine Datenbl\u00f6cke genutzt, die zwar nur einen Bruchteil der Daten auslesen konnten, bevor sie entdeckt wurden. Ein anderer Fall zeigt eine Strategie mit initialen Test-Abfragen, um schlie\u00dflich ganze Datenbanktabellen auszulesen. Diese Anpassungsf\u00e4higkeit unterstreicht die Bedrohungslage und verdeutlicht, dass klassische Sicherheitsma\u00dfnahmen im st\u00e4ndigen Wandel angepasst werden m\u00fcssen.<\/p>\n
Google betont, dass Vishing trotz seiner Risiken weiterhin effektiv ist, besonders wenn es Salesforce-Systeme ins Visier nimmt. Die Ausbeutung von vertrauten Supportrollen erm\u00f6glicht Angreifern den Zugang zu wertvollen Unternehmensdaten. Der Erfolg von UNC6040 zeigt, dass dieser Ansatz nach wie vor potenziell bleibt und Unternehmen aufmerksam bleiben m\u00fcssen. <\/p>\n
Als Gegenma\u00dfnahmen empfiehlt Google ein strategisches Vorgehen mit mehreren Ebenen:<\/p>\n
– Prinzip der niedrigsten Zugriffsrechte: Nur notwendige Berechtigungen sollten vergeben werden.
\n– Restriktive ed-App-Zugriffe: Begrenzte und autorisierte Nutzung von Drittanbieter-Anwendungen.
\n– IP-basierte Zugriffskontrollen: Sicherung durch geografisch begrenzte Zugriffsnachweise.
\n– Advanced Security Monitoring und Policy Enforcement mit Salesforce Shield: Verst\u00e4rkte \u00dcberwachung und automatisierte Sicherheitsma\u00dfnahmen innerhalb der Salesforce-Plattform.
\n– Multi-Faktor-Authentifizierung (MFA): Zus\u00e4tzliche Schutzschicht f\u00fcr Benutzerkonten.<\/p>\n
Durch die Implementierung dieser Ma\u00dfnahmen k\u00f6nnen Unternehmen ihre Widerstandsf\u00e4higkeit gegen Vishing-Angriffe und den raffinierten Ansatz von Gruppen wie UNC6040 verbessern und so wertvolle Unternehmensdaten sch\u00fctzen.<\/p>\n
Schlagw\u00f6rter: UNC6040 + Google + Vishing<\/p>\n","protected":false},"excerpt":{"rendered":"
Die IT-Sicherheitsforscher bei Google haben eine kriminelle Gruppe unter dem Namen UNC6040 identifiziert, die sich durch gezielte Angriffe auf Salesforce-Nutzer hervorhebt. Diese Gruppe operiert mit einem raffinierten Ansatz, der Vishing-Techniken und die Ausnutzung von legitimen Supportrollen kombiniert, um an sensible Unternehmensdaten zu gelangen. UNC6040 zeichnet sich durch Geduld und strategisches...<\/p>\n","protected":false},"author":4,"featured_media":13022,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-13023","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13023"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/13023\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/13022"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}