UNC6040 Vishing-Gruppe
Cybersicherheitsforscher haben eine finanziell motivierte Bedrohungsgruppe namens UNC6040 aufgedeckt, die sich auf Voice-Phishing-Kampagnen (Vishing) spezialisiert hat. Diese Angriffe zielen speziell darauf ab, Salesforce-Umgebungen zu infiltrieren, sensible Daten in großem Umfang zu stehlen und die gestohlenen Informationen für Erpressungen zu nutzen.
Inhaltsverzeichnis
Ein bekanntes Gesicht: Links zum Cybercrime-Kollektiv „The Com“
Die Taktiken und Verhaltensweisen von UNC6040 deuten auf Verbindungen zu The Com hin, einem lockeren Online-Cybercrime-Netzwerk. Die Gruppe weist zudem operative Ähnlichkeiten mit Scattered Spider auf, einem weiteren Akteur des Kollektivs, der für seine Nachahmung von IT-Support-Mitarbeitern und gezielte Zugriffe auf Anmeldeinformationen bekannt ist. Ihre Ziele unterscheiden sich jedoch: Scattered Spider strebt einen breiteren Zugriff an, während UNC6040 Salesforce-Daten exfiltrieren will.
Identitätsbetrug in Aktion: Die Vorgehensweise beim Vishing
Der Erfolg der Gruppe beruht auf dem Einsatz äußerst überzeugender telefonischer Social-Engineering-Methoden. Indem sie sich als IT-Supportmitarbeiter ausgeben, die oft fließend Englisch sprechen, können UNC6040-Betreiber Mitarbeiter dazu bringen, Anmeldeinformationen herauszugeben oder Aktionen auszuführen, die unbefugten Zugriff auf Unternehmenssysteme ermöglichen.
Vertrauen ausnutzen: Das modifizierte Salesforce Data Loader-Schema
Eine besonders beliebte Taktik besteht darin, Opfer dazu zu bringen, eine modifizierte Version des Salesforce Data Loader zu autorisieren, getarnt unter irreführenden Namen wie „Mein Ticketportal“. Dadurch erhalten Angreifer Zugriff auf die verbundene App-Oberfläche von Salesforce und können diese nutzen, um riesige Mengen an Kundendaten von der Plattform zu stehlen.
Über Salesforce hinaus: Laterale Bewegung und breitere Nutzung
Einmal im Netzwerk angekommen, macht UNC6040 nicht vor Salesforce halt. Die Angreifer dringen seitlich im Netzwerk vor und sammeln Daten von anderen Cloud-Plattformen wie Okta, Workplace und Microsoft 365. Dies ermöglicht einen umfassenderen Angriff und erhöht den Wert der gestohlenen Informationen.
Verzögerte Auszahlung: Strategische Erpressungstaktiken
Interessanterweise erfolgten Erpressungsversuche oft Monate nach dem ersten Angriff, was auf eine bewusste, strategische Verzögerung hindeutet. Diese Forderungen werden manchmal von Behauptungen einer Verbindung zur berüchtigten Hackergruppe ShinyHunters begleitet, was wahrscheinlich darauf abzielt, den psychischen Druck auf die Opfer zu erhöhen.
Recon First: Vishing mit automatisierter Telefonüberwachung
UNC6040 nutzt zudem automatisierte Telefonsysteme mit aufgezeichneten Nachrichten und Menüoptionen, um Informationen zu sammeln. Diese Systeme liefern Informationen zu internen Supportnummern, häufigen Mitarbeiterproblemen, Anwendungsnamen und Systemwarnungen – wichtige Informationen für die Entwicklung überzeugender Vishing-Szenarien.
Social Engineering im Zeitalter der Remote-Arbeit
Die Gruppe profitiert von der Umstellung auf Remote-IT-Support, da die Mitarbeiter dort an den Umgang mit unbekanntem Supportpersonal gewöhnt sind. Dieses Umfeld schafft ideale Bedingungen für betrügerisches Social Engineering, insbesondere in Verbindung mit umfassender Aufklärung.
Reaktion von Salesforce und Kundenwarnungen
Salesforce bestätigte die Angriffe im März 2025 und warnte Kunden vor Social-Engineering-Kampagnen, bei denen sich die Angreifer als IT-Mitarbeiter ausgaben. Angreifer lockten Nutzer auf Phishing-Seiten oder leiteten sie zu login.salesforce[.]com/setup/connect um, um bösartige verbundene Apps zu genehmigen. Dabei handelte es sich in der Regel um modifizierte Versionen von Data Loader unter irreführendem Branding.
Keine Systemverwundbarkeit: Ausnutzung menschlicher Schwächen
Salesforce betonte, dass diese Vorfälle auf Benutzermanipulationen und nicht auf technische Schwachstellen in den Systemen zurückzuführen seien. Die Angriffe unterstreichen, dass individuelles Bewusstsein und Cybersicherheit weiterhin wichtige Verteidigungslinien darstellen, insbesondere gegen Voice-Phishing-Betrug.
Anhaltende Bedrohung: Eine Warnung für die Zukunft
Die von UNC6040 eingesetzten Taktiken zeigen, dass Vishing nach wie vor eine hochwirksame Methode ist, um die Abwehrmechanismen von Unternehmen zu durchbrechen. Angesichts der Verzögerung zwischen dem ersten Zugriff und der Erpressung könnten in den kommenden Wochen oder Monaten weitere Unternehmen gefährdet sein. Wachsamkeit und robuste interne Kontrollen sind der Schlüssel zur Eindämmung dieser wachsenden Bedrohung.
