Google deckt Vishing-Gruppe auf: Angriff auf Salesforce mit gefälschter App

LONDON (IT BOLTWISE) – Google hat eine neue Bedrohung durch die Vishing-Gruppe UNC6040 aufgedeckt, die gezielt Salesforce-Instanzen angreift, um Daten zu stehlen und Unternehmen zu erpressen.

Google hat kürzlich Details zu einer finanziell motivierten Bedrohungsgruppe veröffentlicht, die sich auf Voice-Phishing-Kampagnen spezialisiert hat, um in Salesforce-Instanzen von Unternehmen einzudringen. Diese Gruppe, die unter dem Namen UNC6040 bekannt ist, wird mit einem Online-Cyberkriminalitätskollektiv namens The Com in Verbindung gebracht. Laut Google hat UNC6040 in den letzten Monaten wiederholt erfolgreich Netzwerke kompromittiert, indem sie sich als IT-Support-Mitarbeiter ausgaben und überzeugende telefonbasierte Social-Engineering-Techniken einsetzten.

Diese Methode hat sich als effektiv erwiesen, um englischsprachige Mitarbeiter dazu zu bringen, Handlungen auszuführen, die den Angreifern Zugang verschaffen oder wertvolle Informationen wie Anmeldedaten preisgeben. Ein bemerkenswerter Aspekt der Aktivitäten von UNC6040 ist die Verwendung einer modifizierten Version der Salesforce Data Loader-App, die Opfer dazu verleitet, diese zu autorisieren, um sich mit dem Salesforce-Portal der Organisation zu verbinden. Data Loader ist eine Anwendung, die zum Importieren, Exportieren und Aktualisieren von Daten in großen Mengen innerhalb der Salesforce-Plattform verwendet wird.

Die Angreifer führen das Ziel dazu, die Setup-Seite für verbundene Apps von Salesforce zu besuchen und die modifizierte Version der Data Loader-App zu genehmigen, die unter einem anderen Namen oder Branding (z. B. “My Ticket Portal”) als das legitime Gegenstück geführt wird. Diese Aktion gewährt ihnen unbefugten Zugriff auf die Salesforce-Kundenumgebungen und ermöglicht die Datenexfiltration.

Über den Datenverlust hinaus dienen die Angriffe als Sprungbrett für UNC6040, um sich seitlich durch das Netzwerk des Opfers zu bewegen und Informationen von anderen Plattformen wie Okta, Workplace und Microsoft 365 zu erlangen. In einigen Fällen wurden auch Erpressungsaktivitäten beobachtet, jedoch erst “mehrere Monate” nach den ersten Eindringversuchen, was auf einen Versuch hindeutet, die gestohlenen Daten in Zusammenarbeit mit einem zweiten Bedrohungsakteur zu monetarisieren.

Während dieser Erpressungsversuche hat der Akteur behauptet, mit der bekannten Hackergruppe ShinyHunters verbunden zu sein, wahrscheinlich als Methode, um den Druck auf ihre Opfer zu erhöhen. Die Überschneidungen von UNC6040 mit Gruppen, die mit The Com verbunden sind, ergeben sich aus der Zielsetzung von Okta-Anmeldedaten und der Nutzung von Social Engineering über IT-Support, eine Taktik, die auch von Scattered Spider, einem weiteren finanziell motivierten Bedrohungsakteur, der Teil des locker organisierten Kollektivs ist, angewendet wird.

Die Vishing-Kampagne ist auch Salesforce nicht entgangen, das im März 2025 vor Bedrohungsakteuren warnte, die Social-Engineering-Taktiken nutzen, um sich am Telefon als IT-Support-Mitarbeiter auszugeben und die Mitarbeiter seiner Kunden dazu zu bringen, ihre Anmeldedaten preiszugeben oder die modifizierte Data Loader-App zu genehmigen.

Diese Entwicklung unterstreicht nicht nur die anhaltende Raffinesse von Social-Engineering-Kampagnen, sondern zeigt auch, wie IT-Support-Mitarbeiter zunehmend als Mittel zum Erlangen des ersten Zugangs ins Visier genommen werden. Der Erfolg von Kampagnen wie der von UNC6040, die diese verfeinerten Vishing-Taktiken nutzen, zeigt, dass dieser Ansatz weiterhin ein effektiver Bedrohungsvektor für finanziell motivierte Gruppen ist, die versuchen, die Verteidigung von Organisationen zu durchbrechen.

Angesichts des verlängerten Zeitrahmens zwischen der ersten Kompromittierung und der Erpressung ist es möglich, dass mehrere Opferorganisationen und potenziell nachgelagerte Opfer in den kommenden Wochen oder Monaten mit Erpressungsforderungen konfrontiert werden könnten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!