RSS Cloud Blog
Folgen
Cybercrime-Beobachtungen von der Front: Proaktive Härtungsempfehlungen von UNC6040
UNC6040 ist ein Bedrohungscluster, der Voice-Phishing einsetzt, um Salesforce für Datendiebstahl und Erpressung zu kompromittieren. Sie geben sich als IT-Support aus, um Mitarbeiter dazu zu verleiten, Zugriff zu gewähren oder Anmeldedaten preiszugeben. Eine gängige Taktik besteht darin, Benutzer davon zu überzeugen, eine bösartige, geänderte Version des Salesforce Data Loaders zu autorisieren.Diese nicht autorisierte App ermöglicht es Angreifern, sensible Salesforce-Daten abzurufen, abzufragen und zu exfiltrieren. Erpressungsversuche erfolgen manchmal Monate später, wobei die Angreifer behaupten, mit ShinyHunters in Verbindung zu stehen. UNC6040 zielt auf Benutzer mit erhöhten SaaS-Zugriffen ab und nutzt oft Mullvad VPN für seine Operationen.Um sich gegen diese Angriffe zu verteidigen, sollten Organisationen eine robuste, mehrschichtige Identitätsprüfung für Supportanfragen implementieren. Dies umfasst Live-Video-Nachweise und Out-of-Band-Verifizierung für risikoreiche Änderungen. Bei Anfragen von Drittanbietern müssen Helpdesks den Anbieter unabhängig über vertrauenswürdige Kontaktinformationen verifizieren.Endbenutzer sollten geschult werden, alle Anfragen von Drittanbietern rigoros zu überprüfen und verdächtige Kommunikation zu melden. Organisationen müssen einheitliche Identitätssicherheitskontrollen über zentrale Identitätsanbieter wie Entra ID oder Okta durchsetzen. Dies beinhaltet die Implementierung von Phishing-resistenten Multi-Faktor-Authentifizierung und Device-Trust-Richtlinien.Single Sign-On (SSO) sollte für den Zugriff auf alle SaaS-Anwendungen vorgeschrieben werden, wobei plattformnative Konten nur für Notfall-Break-Glass-Szenarien vorgesehen sind. Phishing-resistente MFA, wie FIDO2-Schlüssel, ist für alle Benutzer, die auf SaaS-Anwendungen zugreifen, unerlässlich. Gerätekonformitätsprüfungen stellen sicher, dass nur sichere Geräte auf Unternehmensanwendungen zugreifen können.