Een nieuw rapport van Google Threat intelligence Group (GTIG) laat een dreiging voor Salesforce-instances zien. Echter heeft het gevaar niets te maken met eventuele tekortkomingen in het CRM-platform, maar menselijke misleiding.
De hackerscampagne, uitgevoerd door de door Google genoemde groep UNC6040, vindt plaats in zowel Europa als Amerika. Door IT-support na te doen in telefoongesprekken weten de kwaadwillenden credentials bij onder andere grote multinationals te bemachtigen. Daarnaast liet men vervalste Salesforce Data Loader-apps downloaden om gevoelige gegevens te stelen. UNC6040 heeft zich volgens de Google-onderzoekers gespecialiseerd in deze aanvalsmethode.
Voice phishing als aanvalsmethode
De campagne draait om het bekende voice phishing (ook wel ‘vishing’), waarbij cybercriminelen telefonisch contact opnemen met werknemers. Deze methode verschijnt steeds vaker in de cybersecuritywereld, zoals begin dit jaar andermaal bleek bij aanvallen via Apple iMessage. Het telefoontje vormt de eerste stap in een complexe social engineering-aanval.
De hackers geven zich uit voor Salesforce-medewerkers en beweren dat er dringende technische problemen zijn. Ze sturen werknemers naar een namaakwebsite waar ze een aangepaste versie van Data Loader kunnen downloaden. Dit programma wordt normaal gebruikt voor het grootschalig importeren van gegevens in Salesforce-omgevingen, waardoor de installatie voor vele werknemers geen reden is om kwade bedoelingen te vermoeden bij hun telefoongesprekspartner.
Volgens de Google-onderzoekers geven installatie van de valse app de aanvallers “significante mogelijkheden om gevoelige informatie te bereiken, te onderzoeken en te exfiltreren. Dit gebeurt direct via de Salesforce-omgeving en dus zonder deze te hacken. Door de toegang tot Salesforce kunnen ze doorbreken naar andere cloudservices en interne netwerken.
Met andere woorden: ook hier is sprake van de securitytrend om simpelweg in te loggen, niet naar binnen te hacken. Dit kwam ook aan bod bij ons recente gesprek met Trend Micro.
Leestip: Trend Micro houdt de dreigingen van nu en later in de gaten
“The Com”
UNC6040 zou gerelateerd zijn aan de grotere hackersgroep “The Com”. Er is een grote overlap in de welbekende TTP’s (tactics, techniques, procedures): het imiteren van IT-support, de diefstal van Okta-credentials en een focus op Engelssprekende slachtoffers. Google kan niet met zekerheid stellen dat deze hackersgroepen echt verwant zijn, buiten het feit dat ze dezelfde darkweb-gemeenschappen bezoeken.
Een Google-woordvoerder bevestigde tegenover Reuters dat ongeveer 20 organisaties getroffen zijn door de campagne van UNC6040, die zich over meerdere maanden uitstrekt. Bij een deel van deze organisaties zijn daadwerkelijk gegevens gestolen.
Salesforce wijst er in een reactie op dat het probleem niet ligt aan kwetsbaarheden in hun platform. Een woordvoerder noemt het “gerichte social engineering-oplichtingen ontworpen om gaten te exploiteren in de security awareness van individuele gebruikers en best practices.”
Waarschuwingen vooraf
Salesforce publiceerde overigens al in maart een waarschuwing tegen voice phishing-aanvallen en het misbruik van aangepaste Data Loader-versies. De timing van deze waarschuwing wijst erop dat het bedrijf toen al signalen opving van deze campagne.