Salesforce-omgevingen doelwit van gericht phishing- en social engineeringaanvallen
Een groep cybercriminelen, bekend als UNC6040, voert gerichte phishingaanvallen uit en probeert via social engineering toegang te krijgen tot Salesforce-omgevingen van organisaties. Het doel van deze aanvallen is het stelen van grote hoeveelheden data en het afpersen van slachtoffers. De aanvallers doen zich voor als IT-ondersteunend personeel en misleiden medewerkers, vaak binnen Engelstalige afdelingen van multinationale bedrijven. Zo proberen zij slachtoffers te verleiden tot het uitvoeren van acties die hen toegang geven of leiden tot het delen van gevoelige inloggegevens.
Dit blijkt uit onderzoek van Google Threat Intelligence Group (GTIG). Een veelgebruikte tactiek van UNC6040 is het misleiden van slachtoffers om een kwaadaardige gekoppelde app goed te keuren in hun Salesforce-portal. Deze app is vaak een aangepaste versie van Salesforce’s Data Loader. Tijdens een phishingtelefoongesprek leidt de aanvaller het slachtoffer naar de Salesforce-pagina voor het instellen van gekoppelde apps om een versie van de Data Loader-app goed te keuren. Deze stap geeft de aanvallers aanzienlijke mogelijkheden om toegang te krijgen tot, op te vragen en gevoelige informatie te stelen vanuit de gecompromitteerde Salesforce-omgevingen van klanten.
Slachtoffers afgeperst
In sommige gevallen werden afpersingsactiviteiten pas enkele maanden na de initiële inbraak waargenomen, wat erop kan wijzen dat UNC6040 samenwerkt met een tweede dreigingsactor. Tijdens deze afpersingspogingen heeft de actor beweerd banden te hebben met de bekende hackersgroep ShinyHunters, waarschijnlijk als een methode om de druk op hun slachtoffers te verhogen. Na het verkrijgen van toegang heeft UNC6040 waargenomen dat data onmiddellijk wordt gestolen uit de Salesforce-omgeving van het slachtoffer met behulp van Salesforce’s Data Loader-applicatie.
Deze campagne benadrukt het belang van een gedeeld verantwoordelijkheidsmodel voor cloudbeveiliging. Hoewel platforms zoals Salesforce robuuste beveiligingscontroles bieden, is het essentieel dat klanten toegang, machtigingen en gebruikersopleiding configureren en beheren volgens best practices. Om zich te verdedigen tegen social engineering-bedreigingen, met name diegene die tools zoals Data Loader misbruiken voor datadiefstal, moeten organisaties een verdediging-in-diepte-strategie implementeren.
Experts bevelen verschillende mitigatiemaatregelen aan, zoals het principe van minimale bevoegdheden, het streng beheren van toegang tot gekoppelde applicaties, het handhaven van IP-gebaseerde toegangbeperkingen en het gebruik van geavanceerde beveiligingsmonitoring. Daarnaast is het belangrijk om multi-factor authenticatie (MFA) universeel af te dwingen. Deze maatregelen kunnen organisaties helpen hun beveiligingshouding aanzienlijk te versterken tegen dergelijke aanvallen.
Specifiek gericht op Salesforce-omgevingen
Deze campagne van UNC6040 is bijzonder opmerkelijk vanwege de focus op het stelen van data specifiek uit Salesforce-omgevingen. Bovendien benadrukt deze activiteit een bredere en zorgwekkende trend: dreigingsactoren richten zich steeds vaker op IT-ondersteunend personeel als primaire vector voor het verkrijgen van initiële toegang, waarbij ze hun rollen misbruiken om waardevolle bedrijfsdata te stelen.
Meer informatie is hier beschikbaar.
Dutch IT events
Alle events
Meer over Security
Over Wouter Hoeffnagel
