[English]Ich stelle noch einige Information hier ein, die mir von der Google Threat Intelligence Group (GTIG) zugegangen ist. Die Sicherheitsexperten sind auf eine Kampagne der Hackergruppe UNC6040 gestoßen, die Voice-Phishing (Vishing) verwendet, um Salesforce-Instanzen zu kompromittieren und Daten zu stehlen.
Was ist Vishing?
Vishing (steht für "Voice Phishing") ist eine Form des Telefonbetrugs, bei der Betrüger versuchen, über Telefonanrufe oder Sprachnachrichten an sensible Informationen wie Anmeldedaten, Kreditkartennummern oder Bankdaten zu gelangen.
Visher verwenden gefälschte Telefonnummern, stimmverändernde Software, Textnachrichten und Social Engineering, um ihre Opfer dazu zu bringen, vertrauliche Informationen preiszugeben. Die Betrüger geben sich oft als vertrauenswürdige Institutionen aus, um das Vertrauen der Opfer zu gewinnen.
UNC6040 Salesforce Vishing
Salesforce ist ein US-Anbieter von Cloud-Lösungen. Das Unternehmen gilt als der weltgrößte Cloud-Softwareanbieter für Unternehmen. Das Unternehmen bietet eine Data Loader-Anwendung an. Mit dieser Client-Anwendung ist ein Massenimport oder -export von Daten möglich. Der Data Loader soll verwendet werden, um Salesforce-Datensätze einzufügen, zu aktualisieren, zu löschen oder zu exportieren.
Bei der auf Vishing spezialisierten Cyberkriminellen-Gruppe UNC6040 geben sich die Anrufer am Telefon als Mitarbeiter des IT-Support aus und versuchen angerufene Angestellte dazu zu bringen, modifizierte (nicht von Salesforce autorisierte) Data Loader-Anwendungen zu installieren.
Über diese Data Loader-Varianten erhält UNC6040 Zugang zu sensiblen Daten, die der Angestellte in der Anwendung eingibt. Im Anschluss können die Angreifer mittels dieser Daten in andere Cloud-Dienste und interne Unternehmensnetzwerke eindringen.
Salesforce warnt vor diesem Angriff
Salesforce hat bereits reagiert und beschreibt in seinen Leitlinien zum Schutz von Salesforce-Umgebungen die Methodik, die Data Loader-Funktionen durch abgeänderte Apps zu missbrauchen. Es wird also keine Salesforce-Schwachstelle, die zur Kompromittierung von Konten führt, sondern klassisches Social Engineering, um einen Nutzer zu überlisten.
Wohl 20 Organisationen betroffen
Die Google Threat Intelligence Group (GTIG) schätzt, dass aktuell eine begrenzte Anzahl von etwa 20 Organisationen von diesen Aktivitäten betroffen ist. Die Kampagne von UNC6040 hat vor einigen Monaten begonnen und ist weiterhin aktiv, heißt es weiter in der Mitteilung.
Laut den GTIG-Experten sei die Gruppe UNC6040 "opportunistisch", d.h. lässt keine Gelegenheit aus. Zu den Zielbranchen gehören das Gastgewerbe, der Einzelhandel, das Bildungswesen und verschiedene andere Sektoren in Europa und Nord- und Südamerika.
Die so kompromittierten Organisationen werden teilweise erst Monate nach dem ersten Einbruch erpresst. Das könnte nach Einschätzung der Experten darauf hindeuten, dass UNC6040 eine Partnerschaft mit einem zweiten Bedrohungsakteur eingegangen ist, der die gestohlenen Daten zu Geld macht.
GTIG gibt an, dass die Hacker von UNC6040 bei Erpressungsversuchen behaupteten, zu anderen Gruppen wie ShinyHunters zu gehören. Es wird vermutet, dass dies den Druck auf die Opfer erhöhen soll.
Die Experten der Google Threat Intelligence Group (GTIG) verfolgen aber eine andere Spur bzw. haben eine Vermutung. Man hat weitreichende Überschneidungen zwischen der Infrastruktur sowie den TTPs (Tactics, Techniques and Procedures) von UNC6040 und Aktivitäten der Untergrundgemeinschaft "The Com" festgestellt. Daher tippt man auf einen losen Zusammenschluss von Cyberkriminellen (UNC3944 / Scattered Spider ist Teil desselben Ökosystems).
Laut den Beobachtungen von GTIG verwendet UNC6040 die Okta-Phishing-Panels und fordert direkt MFA-Codes (Multi-Faktor-Authentifizierung) an. Weiterhin werden Mullvad-VPN-IPs für die Daten-Exfiltration genutzt.
MVP: 2013 – 2016
