Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Mit <kes>+ lesen

FBI warnt vor Angriffen auf Salesforce durch UNC6040 und UNC6395 : Cyberkriminelle Gruppen nutzen kompromittierte OAuth-Tokens und Social Engineering für Datendiebstahl und Erpressung

Cyberkriminellen haben es neuerdings auf Salesforce-Plattformen abgesehen: Das amerikanische Federal Bureau of Investigation (FBI) hat eine Warnung zu zwei Bedrohungsakteuren herausgegeben, die unter den Bezeichnungen UNC6040 und UNC6395 geführt werden. Beide Gruppen orchestrieren gezielte Angriffe, bei denen Daten gestohlen und im Anschluss zur Erpressung missbraucht werden.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 2 Min.

Nach Erkenntnissen des FBI nehmen die beiden fraglichen Gruppen gezielt Salesforce-Umgebungen ins Visier. Dabei nutzen sie unterschiedliche Strategien für den Erstzugriff.

  • UNC6395: Kampagne zum Datendiebstahl mit kompromittierten OAuth-Tokens der Salesloft Drift-Anwendung, ermöglicht durch einen GitHub-Breach zwischen März und Juni 2025.
  • UNC6040: Seit Oktober 2024 aktive Gruppe, die vishing-basierte Social-Engineering-Kampagnen durchführt, um Salesforce-Instanzen zu kompromittieren.

UNC6395: Angriff über kompromittierte Tokens

Im August 2025 startete UNC6395 eine breit angelegte Kampagne gegen Salesforce-Instanzen. Über gestohlene OAuth-Tokens der Salesloft Drift-Anwendung konnten Angreifer Zugriff erlangen. Der Ursprung lag in einem kompromittierten GitHub-Konto des Unternehmens.

Salesloft reagierte mit sofortigen Gegenmaßnahmen:

  • Isolierung der Drift-Infrastruktur
  • Abschaltung der KI-basierten Chatbot-Anwendung
  • Einführung zusätzlicher Multi-Faktor-Authentifizierung
  • Härtung der GitHub-Umgebungen

„Wir konzentrieren uns auf die fortlaufende Härtung der Drift-Anwendungsumgebung“, erklärte das Unternehmen. „Dieser Prozess umfasst den Austausch von Zugangsdaten, die vorübergehende Deaktivierung bestimmter Teile der Drift-Anwendung sowie die Stärkung der Sicherheitskonfigurationen.“ Kunden wurden aufgefordert, sämtliche Drift-Integrationen und Daten als potenziell kompromittiert einzustufen.

UNC6040: Datendiebstahl per Social Engineering

Die zweite Gruppe setzt auf telefonisches Social Engineering (Vishing), um Zugangsdaten zu erbeuten und Salesforce-Instanzen zu übernehmen. Anschließend nutzen die Angreifer manipulierte Versionen des Salesforce Data Loader sowie eigens entwickelte Python-Skripte zur Datenexfiltration.

Charakteristisch ist dabei ein zweistufiges Vorgehen:

  • Erstzugriff über Social Engineering und Phishing-Panels
  • Massenhafter Abzug von Daten über Programmierschnittstellen
  • Teilweise zeitlich versetzte Erpressungsversuche Monate nach dem Datendiebstahl

Die Erpressungsphase wird von Google einer weiteren Gruppe zugeordnet: UNC6240, die sich wiederholt als „ShinyHunters“ ausgibt.

Konsolidierung der Cybercrime-Szene

Im Umfeld der Angriffe kam es zu weiteren Entwicklungen in der Cybercrime-Szene. ShinyHunters, Scattered Spider und LAPSUS$ kündigten im September 2025 eine Vereinigung ihrer Aktivitäten an, erklärten jedoch kurz darauf, ihre Operationen einzustellen.

„Wir, LAPSUS$, Trihash, Yurosh, Yaxsh, WyTroZz, N3z0x, Nitroz, TOXIQUEROOT, Prosox, Pertinax, Kurosh, Clown, IntelBroker, Scattered Spider, Yukari und viele andere mehr, haben beschlossen, im Verborgenen zu agieren“, erklärte die Gruppe. „Da unsere Ziele erreicht sind, ist es nun an der Zeit, Abschied zu nehmen.“

Im Moment ist nicht klar, warum sich die Gruppe zurückgezogen hat. Wahrscheinlich will sie aber einfach untertauchen und vermeiden, noch stärker ins Visier der Strafverfolgungsbehörden zu geraten.

Sicherheitsanalysten werten solche Rückzugsankündigungen traditionell skeptisch. Erfahrungsgemäß tauchen Gruppen nach einer Phase der Inaktivität unter neuer Identität wieder auf. Risiken bestehen fort, da gestohlene Daten weiterverwertet oder unentdeckte Hintertüren reaktiviert werden können.

Fazit: Dauerhafte Wachsamkeit notwendig

Die aktuellen Entwicklungen zeigen einmal mehr, dass selbst etablierte Plattformen wie Salesforce in den Fokus professioneller Angreifer geraten. Für Unternehmen bedeutet dies:

  • Stärkung von Authentifizierungs- und Autorisierungsmechanismen
  • Härtung von Entwicklungs- und Integrationsumgebungen
  • Laufende Überwachung auf verdächtige Aktivitäten
  • Konsequente Vorbereitung auf mögliche Erpressungsszenarien

Auch wenn einzelne Gruppen ihre Aktivitäten einstellen oder untertauchen: Die Bedrohung bleibt bestehen. Organisationen sollten Sicherheitsvorfälle nicht als abgeschlossene Episode betrachten, sondern als wiederkehrende Realität, die eine kontinuierliche Verteidigungsstrategie erfordert.

 

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.