تحذير من FBI بشأن مجموعتي UNC6040 وUNC6395 المتورطتين في هجمات اختراق Salesforce وسرقة البيانات
أصدر مكتب التحقيقات الفيدرالي الأميركي (FBI) تنبيهًا أمنيًا عاجلًا يتضمن مؤشرات اختراق (IoCs) مرتبطة بمجموعتين سيبرانيّتين خطيرتين هما UNC6040 و UNC6395، بعد تورطهما في سلسلة من هجمات سرقة بيانات وابتزاز استهدفت منصات Salesforce.
مجموعة UNC6395: استغلال ثغرة في OAuth
بحسب التحقيقات، شنت UNC6395 حملة واسعة النطاق في أغسطس 2025 استهدفت خدمات Salesforce عبر استغلال رموز OAuth مخترقة مرتبطة بتطبيق Salesloft Drift.
-
تمكن المهاجمون من الوصول بعد اختراق حساب GitHub تابع لشركة Salesloft بين مارس ويونيو 2025.
-
كرد فعل، قامت الشركة بعزل البنية التحتية لتطبيق Drift وتعطيله مؤقتًا.
-
أعلنت الشركة أنها بصدد تطبيق مصادقة متعددة العوامل وتعزيز إجراءات الأمان على GitHub.
-
نصحت جميع العملاء باعتبار أي تكاملات مع Drift وبيانات مرتبطة بها مخترقة بشكل محتمل.
مجموعة UNC6040: هجمات بالتصيّد الصوتي والابتزاز
أما مجموعة UNC6040، والتي تنشط منذ أكتوبر 2024، فقد عُرفت بهجماتها التي تبدأ عبر التصيّد الصوتي (Vishing) للحصول على بيانات الدخول إلى منصات Salesforce.
-
استخدم المهاجمون نسخة معدلة من أداة Salesforce Data Loader مع سكربتات Python مخصصة لاستخراج البيانات.
-
بعد أشهر من سرقة البيانات، نفذوا حملات ابتزاز للضحايا.
-
اعتمدت هذه الهجمات على استدعاءات API لسحب كميات ضخمة من البيانات دفعة واحدة.
بحسب Google، فإن مرحلة الابتزاز ارتبطت بمجموعة أخرى غير مصنفة بعد، وهي UNC6240، والتي زعمت أنها تمثل مجموعة ShinyHunters سيئة السمعة.
ظهور واختفاء المجموعات الإجرامية
في الأسابيع الأخيرة، أعلنت مجموعات ShinyHunters و Scattered Spider و LAPSUS$ عن توحيد جهودها الإجرامية تحت اسم scattered LAPSUS$ hunters 4.0. لكن في 12 سبتمبر 2025، أعلنت المجموعة عبر قناة تيليغرام أنها توقفت عن النشاط و”دخلت في الظلام”.
ومع ذلك، يرى خبراء الأمن أن هذا النوع من الإعلانات نادرًا ما يعني اعتزالًا نهائيًا.
قال سام روبين، نائب رئيس وحدة Unit 42 للاستشارات:
“الاعتقالات الأخيرة قد تكون دفعت هذه المجموعات للتواري، لكن التجارب السابقة تؤكد أن مثل هذه الكيانات تعود تحت أسماء جديدة. الصمت لا يعني الأمان، فالبيانات المسروقة قد تُباع مستقبلًا، والأبواب الخلفية قد تبقى نشطة.”
تشير هذه التطورات إلى أن الهجمات على Salesforce تمثل تهديدًا متصاعدًا يستهدف بيانات الشركات الكبرى. وعلى الرغم من إعلان بعض المجموعات التوقف عن النشاط، إلا أن التهديدات تبقى قائمة وتحتاج المؤسسات إلى تعزيز دفاعاتها السيبرانية، مع افتراض أن الخطر لم يختفِ بل تطور إلى أشكال جديدة.
