Vishing und App-Hacks FBI warnt vor Angriffen auf Salesforce-Instanzen

Anbieter zum Thema

Fsas Technologies GmbH

FTAPI Software GmbH

Das FBI registriert eine neue Angriffswelle auf Salesforce. Hinter den Attacken stecken die Hackergruppen UNC6040 und UNC6395, die sich mit Social Engineering und kompromittierten Drittanbieter-Apps Zugriff verschaffen und sensible Daten abziehen.

Im September veröffentlichte das FBI eine Warnung zu den Hackergruppen „UNC6040“ und „UNC6395“. Diese greifen gezielt Salesforce-Instanzen an, verschlüsseln Daten und erpressen die Eigentümer damit. Dabei gehen die beiden Gruppen mit unterschiedlichen Methoden vor.

Weltweites Spionagesystem

BSI warnt vor Salt Typhoon

UNC6040 nutzt Voice Phishing für Angriffe

Seit Oktober 2024 verschaffen sich die Akteure hinter UNC6040 mithilfe von Social Engin­eering, insbesondere durch Voice Phishing (Vishing), Zugang zu den Salesforce-Konten von Unternehmen. Wie das FBI informiert, rufen die Cyberkriminellen dazu in Callcentern ihrer Opfer an und geben sich als IT-Supportmitarbeiter aus. Sie behaupten, es gäbe große Netzwerk­probleme und ein offenes Support-Ticket, das geschlossen werden müsse. So verleiten die UNC6040-Akteure die Mitarbeitenden dazu, ihnen Zugriff auf ihren PC zu gewähren oder ihnen ihre Anmeldeinformationen mitzuteilen sowie die Abfrage der Multifaktor-Authen­tifizierung (MFA) zu bestätigen. Mit diesen Daten können die Angreifer entweder selbst auf Salesforce zugreifen oder dort eine bösartige Drittanbieter-App autorisieren, die sich als normales Tool ausgibt. Häufig würden sie eine manipulierte Version des offiziellen „Data Loader“ von Salesforce nutzen.

Sobald diese App einmal freigeschaltet ist, erhält sie einen gültigen OAuth-Token von Sales­force. Damit sieht jede Aktivität für die Systeme so aus, als käme sie von einer normalen, ver­trauenswürdigen Integration. Zur Tarnung registriert UNC6040 solche bösartigen Apps häufig über Salesforce-Testkonten, sodass kein echtes Firmenkonto nötig ist. Über diese Hintertür können die Angreifer riesige Mengen an Kundendaten automatisiert stehlen. Einige Opfer von UNC6040 erhielten daraufhin Erpresser-E-Mails, in denen eine Zahlung in Krypto­währung gefordert wurde, um die Veröffentlichung der exfiltrierten Daten zu verhindern.

Vishing mit künstlicher Intelligenz

Steigende Gefahr durch Voice-Phishing mit KI

UNC6395 kompromittiert Salesloft-App

Darüber hinaus warnt das FBI vor einer weiteren groß angelegten Kampagne, die auf Sales­force-Plattformen abzielt und mit der Daten gestohlen werden. Die Aktivitäten werden der Gruppe UNC6395 zugeschrieben. Im August 2025 wurden Cyberangriffe beobachtet, bei denen Cyberkriminelle kompromittierte OAuth-Token für die Anwendung Drift des Herstellers Sales­loft nutzten. Dies ist ein KI-Chatbot, der in Salesforce integriert werden kann. Mithilfe der kom­promittierten OAuth-Token und der Integration von Drittanbieter-Apps konnten UNC6395-Bedrohungsakteure auf die Salesforce-Instanzen der Opfer zugreifen und Daten stehlen. Die Cyberkriminellen trieben es sogar so weit, dass Salesloft und Salesforce alle aktiven Zu­griffs- und Aktualisierungstoken von Drift widerrufen mussten, um den Zugriff der Angreifer auf die Salesforce-Plattformen der Opfer zu beenden, den sie sich über die zuvor verbundene Salesloft-App verschafft hatten. Somit ist die Methode von UNC6395 ähnlich zu der von UNC6040, nur dass die Einstiegspunkte unterschiedlich sind.

In seiner Warnung veröffentlicht das FBI zudem Indicators of Compromise sowie empfoh­lene, allgemeine Schutzmaßnahmen.

• Schulung von Callcenter-Mitarbeitern im Erkennen und Melden von Phishing-Versuchen

• Phishing-resistente MFA für möglichst viele Dienste vorschreiben

• Authentifizierungs-, Autorisierungs- und Abrechnungssysteme implementieren, um die Aktionen der Benutzer einzuschränken

• Das Prinzip der geringsten Privilegien auf Benutzerkonten und -gruppen anwenden und nur autorisierte Aktionen zulassen

• IP-basierte Zugriffsbeschränkungen durchsetzen und die API-Nutzung überwachen, um ungewöhnliches oder böswilliges Verhalten zu erkennen

• Netzwerkprotokolle und Browsersitzungsaktivitäten auf Anomalien überwachen, um Hinweise auf Datenexfiltration zu finden

• Alle Drittanbieterintegrationen überprüfen, die mit Drittanbieter-Softwareinstanzen verbunden sind, für jede Anwendung API-Schlüssel, Anmeldeinformationen und/oder Authentifizierungstoken rotieren

Third Party Risk Management

So behalten Unternehmen Kontrolle über ihre IKT-Drittanbieter

(ID:50574855)