Von Heinrich Vaske

Die Google Threat Intelligence Group (GTIG) beobachtet seit einigen Wochen Aktivitäten der Erpressergruppe UNC6040, die sich auf Voice-Phishing-(Vishing)-Kampagnen im Salesforce-Umfeld spezialisiert hat. Zu den bekannt gewordenen Opfern gehören Adidas, Qantas, Allianz Life sowie die LVMH-Marken Louis Vuitton, Dior, Tiffany & Co. Jüngstes Angriffsziel war die Modemarke Chanel.

Die Hacker kompromittieren gezielt Salesforce-Instanzen von großen, internationalen Unternehmen, um Daten zu stehlen und ihre Opfer anschließend mit einer möglichen Veröffentlichung zu erpressen. Laut Google geben sich die Angreifer in glaubwürdigen Telefonaten als IT-Support-Mitarbeiter aus und fordern die CRM-Nutzer auf, die Setup-Seite für Connected Apps aufzurufen. Dort werden sie angewiesen, einen „Verbindungscode“ einzugeben, der eine bösartige Version der Data-Loader-OAuth-Anwendung mit der Salesforce-Umgebung des Opfers verknüpft.

Hacker nutzen Social-Engineering-Angriffe

In allen beobachteten Fällen handelt es sich also um Social-Engineering-Angriffe, Schwachstellen in Salesforce wurden nicht gefunden. Die Angreifer ersetzen den originalen Salesforce Data Loader durch eine manipulierte Variante und verschaffen sich so weitreichende Zugriffsrechte. Sie können dann direkt aus den kompromittierten Salesforce-Umgebungen sensible Informationen exfiltrieren.

Google hat Hinweise darauf, dass UNC6040 den Zugang zu den gestohlenen Daten auch an andere Gruppierungen weitergibt, die sich um die Monetarisierung kümmern. Salesforce-Kunden wird empfohlen, die Berechtigung „API Enabled“ nur sehr restriktiv zu vergeben. Außerdem sollte die Autorisierung für App-Installationen beschränkt und der Zugriff von VPN-Diensten wie Mullvad blockiert werden.

Nach der Datenexfiltration haben Hacker in einigen Fällen versucht, das betroffene Unternehmen per E-Mail zu erpressen und Lösegeld zu fordern, um die Veröffentlichung der gestohlenen Daten zu verhindern. Salesforce weist ausdrücklich darauf hin, dass die Kunden Sicherheitspraktiken wie Multi-Faktor-Authentifizierung und Vergabe minimaler Zugriffsrechte (Least-Privilege-Prinzip) beachten sollten.

Nur die Spitze des Eisbergs?

Wie die IT-Security-Seite „BleepingComputer“ mitteilt, ist gerade erst der französische Modekonzern Chanel Opfer dieser Salesforce-Angriffsserie geworden. Am 25. Juli 2025 entdeckte das Unternehmen, dass sich Hacker Zugang zu einer Datenbank verschafft hatten, die bei einem externen Dienstleister gehostet wurde. BleepingComputer will Kenntnis über viele weitere betroffene Unternehmen haben. Allerdings hätten diese die Angriffe bisher noch nicht öffentlich gemacht, so dass noch keine Bestätigung vorliege.