Data Loader-Anwendung<\/a> an. Mit dieser\u00a0Client-Anwendung ist ein Massenimport oder -export von Daten m\u00f6glich. Der Data Loader soll verwendet werden, um Salesforce-Datens\u00e4tze einzuf\u00fcgen, zu aktualisieren, zu l\u00f6schen oder zu exportieren.<\/p>\nBei der auf Vishing spezialisierten Cyberkriminellen-Gruppe UNC6040 geben sich die Anrufer am Telefon als Mitarbeiter des IT-Support aus und versuchen angerufene Angestellte dazu zu bringen, modifizierte (nicht von Salesforce autorisierte) Data Loader-Anwendungen zu installieren.<\/p>\n
\u00dcber diese Data Loader-Varianten erh\u00e4lt UNC6040 Zugang zu sensiblen Daten, die der Angestellte in der Anwendung eingibt. Im Anschluss k\u00f6nnen die Angreifer mittels dieser Daten in andere Cloud-Dienste und interne Unternehmensnetzwerke eindringen.<\/p>\n
Salesforce warnt vor diesem Angriff<\/h2>\n
Salesforce hat bereits reagiert und beschreibt in seinen Leitlinien zum Schutz von Salesforce-Umgebungen die Methodik, die Data Loader-Funktionen durch abge\u00e4nderte Apps zu missbrauchen. Es wird also keine Salesforce-Schwachstelle, die zur Kompromittierung von Konten f\u00fchrt, sondern klassisches Social Engineering, um einen Nutzer zu \u00fcberlisten.<\/p>\n
Wohl 20 Organisationen betroffen<\/h2>\n
Die Google Threat Intelligence Group (GTIG) sch\u00e4tzt, dass aktuell eine begrenzte Anzahl von etwa 20 Organisationen von diesen Aktivit\u00e4ten betroffen ist. Die Kampagne von UNC6040 hat vor einigen Monaten begonnen und ist weiterhin aktiv, hei\u00dft es weiter in der Mitteilung.<\/p>\n
Laut den GTIG-Experten sei die Gruppe UNC6040 \"opportunistisch\", d.h. l\u00e4sst keine Gelegenheit aus. Zu den Zielbranchen geh\u00f6ren das Gastgewerbe, der Einzelhandel, das Bildungswesen und verschiedene andere Sektoren in Europa und Nord- und S\u00fcdamerika.<\/p>\n
Die so kompromittierten Organisationen werden teilweise erst Monate nach dem ersten Einbruch erpresst. Das k\u00f6nnte nach Einsch\u00e4tzung der Experten darauf hindeuten, dass UNC6040 eine Partnerschaft mit einem zweiten Bedrohungsakteur eingegangen ist, der die gestohlenen Daten zu Geld macht.<\/p>\n
GTIG gibt an, dass die Hacker von UNC6040 bei Erpressungsversuchen behaupteten, zu anderen Gruppen wie ShinyHunters zu geh\u00f6ren. Es wird vermutet, dass dies den Druck auf die Opfer erh\u00f6hen soll.<\/p>\n
Die Experten der Google Threat Intelligence Group (GTIG) verfolgen aber eine andere Spur bzw. haben eine Vermutung. Man hat weitreichende \u00dcberschneidungen zwischen der Infrastruktur sowie den TTPs (Tactics, Techniques and Procedures) <\/em>von UNC6040 und Aktivit\u00e4ten der Untergrundgemeinschaft \"The Com\" festgestellt. Daher tippt man auf einen losen Zusammenschluss von Cyberkriminellen (UNC3944 \/ Scattered Spider ist Teil desselben \u00d6kosystems).<\/p>\nLaut den Beobachtungen von GTIG verwendet UNC6040 die Okta-Phishing-Panels\u00a0 und fordert direkt MFA-Codes (Multi-Faktor-Authentifizierung) an. Weiterhin werden Mullvad-VPN-IPs f\u00fcr die Daten-Exfiltration genutzt.<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Ich stelle noch einige Information hier ein, die mir von der Google Threat Intelligence Group (GTIG) zugegangen ist. Die Sicherheitsexperten sind auf eine Kampagne der Hackergruppe UNC6040 gesto\u00dfen, die Voice-Phishing (Vishing) verwendet, um Salesforce-Instanzen zu kompromittieren und Daten zu stehlen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-312337","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312337","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=312337"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312337\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=312337"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=312337"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=312337"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Ich stelle noch einige Information hier ein, die mir von der Google Threat Intelligence Group (GTIG) zugegangen ist. Die Sicherheitsexperten sind auf eine Kampagne der Hackergruppe UNC6040 gesto\u00dfen, die Voice-Phishing (Vishing) verwendet, um Salesforce-Instanzen zu kompromittieren und Daten zu stehlen.<\/p>\n