عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد وهن خرق بيانات Salesloft

خرق بيانات Salesloft

بواسطة Mezo في وهن, التهديد المستمر المتقدم (APT)
ترجمة الى:

أدى هجوم إلكتروني واسع النطاق إلى اختراق تكامل Salesloft مع وكيل دردشة Drift AI، مما مكّن المتسللين من سرقة رموز OAuth وتحديث البيانات. استغلّ الجاني، المُتعقَّب برمز UNC6395، هذه الرموز المسروقة لاختراق بيئات عملاء Salesforce. وقد حدّد خبراء الأمن أكثر من 700 مؤسسة يُحتمل تأثرها بهذا الهجوم.

الجدول الزمني للخرق

تكشف التحقيقات أن النشاط الخبيث امتد من 8 إلى 18 أغسطس 2025. خلال هذه الفترة، استغل المهاجمون رموز OAuth المخترقة المرتبطة بـ Drift للتسلل إلى أنظمة Salesforce. بمجرد دخولهم، قاموا بتصدير كميات هائلة من بيانات الشركة، بهدف جمع بيانات اعتماد حساسة مثل:

  • مفاتيح الوصول إلى Amazon Web Services (AWS)
  • كلمات المرور
  • الرموز المتعلقة بندفة الثلج

أساليب الهجوم والحرفية

ما يميز هذه الحملة هو الدقة المنهجية لـ UNC6395. لم ينفذوا اختراقًا لمرة واحدة، بل شنوا هجمات منظمة ومتكررة على مئات مستأجري Salesforce. من أهم الملاحظات:

التنفيذ المنضبط - تم تشغيل الاستعلامات بشكل منهجي لتحديد واستخراج بيانات الاعتماد.

الوعي التشغيلي – قام المهاجمون بحذف وظائف الاستعلام لإخفاء آثار أنشطتهم.

اختيار الهدف - كانت العديد من المنظمات التي تعرضت للاختراق عبارة عن مقدمي خدمات التكنولوجيا والأمن، مما يشير إلى أن هذا قد يكون محاولة للتسلل إلى سلسلة التوريد.

ومن خلال اختراق البائعين ومقدمي الخدمات، تمكنت المجموعة من توسيع نطاق الهجمات إلى أنظمة العملاء والشركاء.

الرد من Salesloft و Salesforce

أصدرت شركة Salesloft تحذيرًا في 20 أغسطس 2025، أقرّت فيه بالاختراق، وأكدت إلغاء جميع اتصالات Drift-Salesforce. وأصدرت Salesforce بيانًا خاصًا بها، مشيرةً إلى أن "عددًا قليلًا فقط من العملاء" تأثروا مباشرةً. واتخذت الشركتان خطوات فورية عقب الحادثة:

  • رموز الوصول والتحديث النشطة غير صالحة
  • تمت إزالة Drift من AppExchange
  • تعاونوا لاحتواء الهجوم وتقييم التأثير

وأكدت شركة Salesloft أن الحادث لا يؤثر على المؤسسات التي لا تتكامل مع Salesforce.

مشهد التهديد الأوسع

أصبحت بيئات Salesforce بشكل متزايد أهدافًا مربحة للمجموعات ذات الدوافع المالية. تشتهر مجموعات أخرى، مثل UNC6040 وUNC6240 (ShinyHunters)، باستغلال بيئات SaaS، حتى أن UNC6240 تتعاون مع Scattered Spider (UNC3944) لحملات الوصول الأولية.

في الوقت الحالي، لا يوجد دليل يربط UNC6395 بهذه المجموعات، مما يجعله تهديدًا جديدًا ومميزًا. ومع ذلك، فإن حجم حملته وتركيزها وتعقيدها يضعه في نفس فئة الخصوم ذوي الخطورة العالية.

التخفيف والخطوات التالية

استعانت شركة Salesloft بجهات خارجية متخصصة في الأمن لدعم التحقيقات وجهود الإصلاح. وتحث الشركة مسؤولي النظام على إعادة مصادقة اتصالات Salesforce لاستعادة التكاملات واتخاذ احتياطات أمنية إضافية.

وتتضمن التوصيات الرئيسية ما يلي:

  • إلغاء وتدوير مفاتيح API الموجودة
  • إعادة ربط تكاملات Drift بمفاتيح جديدة
  • مراجعة السجلات بحثًا عن الاستعلامات المشبوهة والتعرض المحتمل للبيانات
  • إجراء تحقيقات أعمق لتحديد التأثير

بالنسبة للمؤسسات التي تدير اتصالات Drift عبر مفاتيح API، يُنصح بشدة بالتناوب الاستباقي للمفاتيح. مع ذلك، تُعنى Salesloft حاليًا بتكاملات OAuth مباشرةً.

الخلاصة النهائية

تُسلّط هذه الحملة الضوء على المخاطر المتزايدة لتكاملات الجهات الخارجية ضمن أنظمة البرمجيات كخدمة (SaaS). من خلال إساءة استخدام رموز OAuth المسروقة، أثبت UNC6395 قدرته على تنفيذ عمليات مُستهدفة وسرية ومُوجّهة نحو سلسلة التوريد. يُذكّر هذا الحدث بأنّ المنصات السحابية، على الرغم من قوتها، تظلّ أهدافًا رئيسية للجهات التخريبية التي تسعى إلى استغلال علاقات الثقة عبر سلسلة التوريد الرقمية.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,927
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...