FBI advarer: To trusselsgrupper udnytter Salesforce-platforme til datatyveri og afpresning

Eskil Sørensen

09.22.2025 14:30

UNC6040 og UNC6395 anvender avancerede metoder til at kompromittere cloud-miljøer.

I en ny "flash alert" har FBI offentliggjort IoC'er relateret til to aktive trusselsgrupper: UNC6040 og UNC6395. Begge grupper har for nylig rettet angreb mod organisationers Salesforce-platforme, men med forskellige metoder til initial adgang. Det skriver The Hacker News.

Ifølge FBI har UNC6395 i august 2025 udnyttet kompromitterede OAuth-tokens fra applikationen Salesloft Drift til at få adgang til Salesforce-instanser. Baggrunden for angrebet var et tidligere brud på Saleslofts GitHub-konto, som stod ubeskyttet i flere måneder. Salesloft har siden isoleret Drift-infrastrukturen og taget chatbotten offline, samtidig med at de har iværksat nye MFA-processer og GitHub-sikring.

Virksomheden advarer nu alle Drift-kunder om, at alle integrationer og data bør betragtes som potentielt kompromitterede.

Social engineering og API-misbrug

Den anden gruppe, UNC6040, har været aktiv siden oktober 2024 og er ifølge Google en økonomisk motiveret aktør, der benytter vishing og phishing-paneler til at få adgang til Salesforce-portaler. Efter adgang er opnået, anvender gruppen modificerede versioner af Salesforce Data Loader og specialudviklede Python-scripts til at eksfiltrere store mængder data.

FBI rapporterer, at UNC6040’s angreb ofte følges op af afpresning, som kan finde sted måneder efter det oprindelige datatyveri. Den del af operationen tilskrives en tredje gruppe, UNC6240, som i mails og opkald til ofre hævder at være ShinyHunters.

Google vurderer, at ShinyHunters forbereder lanceringen af en data leak site (DLS) for at øge presset på ofrene – en taktik, der kan eskalere truslen betydeligt. Det er uklart hvilken forbindelse der er mellem denne angivelige forberedelse og ShinyHunters nyligt annoncerede tilbagetrækning.

Hvorfor er Salesforce en attraktiv angrebsflade?

Salesforce er en cloud-baseret CRM-platform, der anvendes af tusindvis af organisationer verden over til at håndtere kundedata, salgsprocesser, marketingautomatisering og integrationer med tredjepartsapplikationer. Platformen tilbyder omfattende API-adgang og integrationer, hvilket gør den fleksibel – men også sårbar, hvis sikkerheden ikke er korrekt konfigureret.

Salesforce anvendes ofte som en central datakilde, og kompromittering af en Salesforce-instans kan give adgang til store mængder persondata, forretningskritiske oplysninger og kommunikationshistorik.

Bruger man Salesforce i sin organisation, bør der tages følgende skridt for at reducere risikoen for kompromittering:

Gennemgå og begræns OAuth-adgange
Styrk GitHub- og CI/CD-sikkerheden
Overvåg API-aktivitet og logfiler
Forbered incident response for cloud-miljøer
Informér og uddan medarbejdere

Salesforce kan dermed ikke betragtes som en lukket platform, men som en aktiv del af trusselsaktørers angrebsflade. Truslen fra grupper som UNC6040 og UNC6395 viser, at også cloud-sikkerhed kræver løbende opmærksomhed, teknisk kontrol og organisatorisk beredskab.

Læs mere

https://thehackernews.com/2025/09/fbi-warns-of-unc6040-and-unc6395.html

Information