المهاجمون الذين تتوافق أساليبهم مع مجموعة ShinyHunters لابتزاز البيانات، أمضوا العام الماضي وهم يتسللون إلى بيئات Salesforce الخاصة بالشركات دون استغلال عيب واحد في النظام الأساسي.

كان الطريق إلى ذلك هو الثقة التي قدمتها المؤسسة بالفعل، عادةً من خلال اتصالات OAuth التي تربط Salesforce بالتطبيقات وموردي الطرف الثالث من حولها.

في بحث نُشر في 13 تموز (يوليو)، قامت Microsoft بتحديد الحملات، التي امتدت من منتصف عام 2025 إلى منتصف عام 2026، إلى ثلاث تقنيات متميزة. كما عملت أيضًا مع Salesforce لطرح أدوات جديدة للكشف والحوكمة تهدف إلى معالجة سجلات مصادقة الأنشطة المفقودة.

وهذا ما يجعل من الصعب القبض عليه. عندما يأتي الوصول من مستخدم حقيقي وافق على تطبيق متصل، أو من تكامل تثق به الشركة بالفعل، تتم قراءة حركة المرور على أنها استخدام عادي، وبالكاد تقوم مراقبة تسجيل الدخول والمصادقة بتسجيلها.

ما يهم هو ما يفعله التطبيق أو الحساب بمجرد دخوله، وهذا بالضبط ما لم يتم إنشاء معظم عمليات تسجيل Salesforce لإظهاره.

تقوم Microsoft بتجميع النشاط في ثلاثة مسارات تطفل:

  • مكالمات التصيد التي تخدع الموظفين للموافقة على تطبيق متصل ضار،
  • رموز OAuth المسروقة من بائعي البرامج المخترقة، و
  • وصول الضيف الذي تم تكوينه بشكل خاطئ إلى مواقع Salesforce.

يرسم كل منها حادثة Salesforce من العام الماضي، وتقول Microsoft إنها شاهدت النشاط عبر المستأجرين في الصناعات بما في ذلك البيع بالتجزئة والتعليم والتصنيع.

المكالمة الهاتفية

المسار الأول هو الذي بدأ الجولة بأكملها. بدءًا من منتصف عام 2025، أجرى الممثلون مكالمات تصيد صوتي (vishing) تتظاهر بأنها دعم تكنولوجيا المعلومات وتحدثوا إلى الموظفين من خلال شاشة موافقة OAuth الخاصة بـ Salesforce، مما جعلهم يأذنون بتطبيق متصل يتحكم فيه المهاجم ويرتدي زي أداة تحميل البيانات الخاصة بـ Salesforce.

بمجرد منح الموافقة، يمكن للتطبيق إجراء مكالمات واجهة برمجة التطبيقات (API) بصفته ذلك المستخدم، مما يسمح للمهاجمين بتعداد بيانات Salesforce الخاصة بالمؤسسة، والحفاظ على الوصول المستمر إلى سجلات CRM، والبحث عن بيانات الاعتماد التي قد تفتح الباب أمام منصات SaaS الأخرى.

لا توجد برامج ضارة، ولا إعادة تشغيل كلمة المرور المسروقة. مجرد مكالمة هاتفية ونقرة موافقة.

هذه هي الحملة التي وثقتها مجموعة Google Threat Intelligence Group (GTIG) وMandiant في منتصف عام 2025، حيث تتبعت الوصول الأولي باسم UNC6040 والابتزاز اللاحق باسم UNC6240، وكلاهما ظلا يدعيان أنهما ShinyHunters للاعتماد بشكل أكبر على الضحايا.

وأكدت جوجل أن أحد مثيلات Salesforce الخاصة بشركتها قد تم اختراقه في يونيو 2025، حيث استولى المهاجمون على بيانات الاتصال التجارية العامة إلى حد كبير قبل أن تقطعهم جوجل. تم ربط الموجة نفسها علنًا بخروقات في شانيل وباندورا، مع تحديد أهداف أيضًا مثل أديداس وكانتاس وأليانز لايف والعديد من العلامات التجارية LVMH.

كانت نصيحة مانديانت للمدافعين صريحة: تستغل هذه المكالمات غريزة مكتب المساعدة لتقديم المساعدة، وغالبًا لا يتم تطبيق عمليات التحقق من الهوية القياسية، والخطوة الآمنة هي إنهاء المكالمة وإعادة الاتصال على قناة معروفة.

الرموز المسروقة من البائعين الموثوقين

المسار الثاني يتخطى الموظف تماما. بدلاً من التصيد الاحتيالي للمستخدم، يقوم المهاجمون باختراق بائع تابع لجهة خارجية يمتلك تطبيقه بالفعل وصول OAuth إلى مؤسسات Salesforce الخاصة بعملائه، ويسرقون أسرار الاتصال أو الرموز المميزة، ويستخدمونها للاستعلام عن البيانات وتصديرها عبر العديد من المثيلات النهائية في وقت واحد.

ونظرًا لأن حركة المرور تأتي من عملية تكامل معتمدة، فإنها لا تؤدي إلى تشغيل إنذارات تسجيل الدخول وتندمج في الأتمتة العادية.

تشير Microsoft إلى ثلاثة حوادث هنا. يعد حل Salesloft Drift في أغسطس 2025 هو الأكبر والأكثر وضوحًا: فقد سرق المهاجمون رموز OAuth وتحديث الرموز المرتبطة بتكامل دردشة Drift AI وقاموا بتحويلها ضد بيئات عملاء Salesforce.

قدرت جوجل أن سرقة رمز Drift من المحتمل أن تكشف أكثر من 700 منظمة، من بينها Cloudflare وZscaler وPalo Alto Networks وProofpoint وPagerDuty وTanium. يتتبع Google المجموعة باسم UNC6395؛ يطلق عليه Cloudforce One من Cloudflare اسم GRUB1.

تتبعت Salesloft لاحقًا السبب الجذري لوصول المهاجم إلى حساب GitHub الخاص به في وقت مبكر من مارس 2025، والذي تم استخدامه للوصول إلى بيئة AWS الخاصة بـ Drift وجمع الرموز المميزة. كان المشغلون هناك بحثًا عن الأسرار، حيث قاموا بتشغيل استعلامات SOQL للتدقيق في حالات الدعم والكائنات الأخرى لمفاتيح AWS ورموز Snowflake وكلمات المرور، ثم حذفوا مهام الاستعلام الخاصة بهم لإبطاء أي شخص يقوم بالتحقيق.

أدت حادثة Gainsight التي وقعت في نوفمبر 2025 إلى تشغيل نفس المسرحية ضد بائع مختلف. قامت Salesforce بسحب التطبيقات المنشورة من قبل Gainsight بعد اكتشاف نشاط غير عادي لواجهة برمجة التطبيقات، وربطت GTIG الحملة بالشركات التابعة لشركة ShinyHunters عبر أكثر من 200 مثيل من Salesforce المتأثرة.

ادعى الأشخاص الذين يقفون وراء اسم ShinyHunters أن موجات Salesloft وGinsight معًا وصلت إلى ما يقرب من 1000 منظمة، وهو رقم لم يتم تأكيده بشكل مستقل.

أحدث حالة، منذ يونيو 2026، هي تسوية Klue. دخل المهاجمون إلى منصة الاستخبارات التنافسية من خلال بيانات اعتماد قديمة مهملة منذ فترة طويلة ولكنها لا تزال نشطة متبقية من تكامل اختباري لم يتم نشره مطلقًا، ودفعوا بتحديث التعليمات البرمجية الذي حصد رموز OAuth المميزة للعملاء، واستخدمها للوصول إلى بيانات Salesforce وGong الخاصة بعملاء Klue، بما في ذلك Huntress وRecorded Future.

تتعقب Microsoft ممثل Klue باسم Storm-3138. أحد التجاعيد في التسمية لأي شخص يقوم بإسناد التقارير: معظم الصناعة، بما في ذلك Huntress وDatadog، تربط ابتزاز Klue بمجموعة تطلق على نفسها اسم Icarus، كما حصل حساب Telegram الذي يدعي أنه ShinyHunters على الفضل أيضًا.

التسميات غير واضحة لأن هذه الهويات تتداخل ويتم المطالبة بها بشكل انتهازي، وهو ما ينطبق على هذه المجموعة الكاملة من الحملات.

ترك وصول الضيف مفتوحا

المسار الثالث لا يحتاج إلى بيانات اعتماد على الإطلاق. شهدت Microsoft ارتفاعًا في نشاط المستخدم الضيف المشبوه ضد نقاط نهاية Salesforce Aura، وهو إطار العمل وراء مواقع Experience Cloud. عندما تم تكوين أذونات المستخدم الضيف بشكل خاطئ، وصل الممثلون إلى وظيفة Aura دون المصادقة.

من خلال استدعاء وحدة التحكم GraphQL Aura، استخدموا ترقيم الصفحات المستند إلى المؤشر لسحب السجلات بعد حد الاستعلام القياسي البالغ 2000 سجل، والخروج بأكثر بكثير مما كان من المفترض أن يكشفه دور الضيف.

يشير الاكتشاف ذو الصلة من Microsoft إلى أدوات AuraInspector المستخدمة لاستكشاف نقاط النهاية هذه. لم يكن هناك استغلال. لقد تركت المؤسسة دور الضيف قادرًا على رؤية أكثر مما ينبغي، وقرأه الممثلون بكل ما يستحقه.

ما شحنته Microsoft و Salesforce للقبض عليه

تعيش الإشارة الموجودة في ما يحدث بعد الوصول: التطبيق المتصل الذي أجرى مكالمة، وما هي نطاقات OAuth التي يحملها، ومقدار الاستعلام، وما إذا كان أي من ذلك طبيعيًا بالنسبة للمستأجر.

عملت Microsoft مع Salesforce لتوضيح ذلك بالضبط في Defender for Cloud Apps. بالنسبة للعملاء الذين يقومون بتشغيل Salesforce Shield Event Monitoring، يقوم موصل Salesforce الذي تمت ترقيته بدمج إطار عمل مراقبة الأحداث في الوقت الفعلي للكشف في الوقت الفعلي تقريبًا وإضافة إسناد التطبيق المتصل، وربط النشاط بهوية تطبيق معينة ونطاقات OAuth الممنوحة له، إلى جانب المزيد من سياق الجلسة وواجهة برمجة التطبيقات.

إلى جانب الاكتشاف، أضافت Microsoft ميزات الوضع والحوكمة لتطبيقات OAuth المتصلة: عرض للتطبيقات ذات الامتيازات العالية التي تحتوي على نطاقات مرتفعة، وطريقة لتسليط الضوء على التطبيقات غير المستخدمة التي ظلت غير نشطة لمدة 90 يومًا أو أكثر مع الاحتفاظ بالأذونات المباشرة، ودرجة مخاطر من 0 إلى 100 لكل تطبيق يمكن للفرق توصيلها بالتنبيهات والسياسات.

الهدف هو العثور على عمليات التكامل المحظورة والمنسية قبل أن يقوم شخص آخر بذلك.

تقليص سطح هجوم OAuth

تعتبر إرشادات Microsoft عملية وتتوافق مع ما قاله البائعون بعد كل حادث: قم بتوصيل مثيلات Salesforce بـ Defender for Cloud Apps للحصول على القياس الإضافي عن بعد، وتشغيل سجلات أحداث Salesforce ومشاهدتها فعليًا، وتأمين وصول مستخدم الضيف إلى Experience Cloud.

وبعيدًا عن الخطوات الخاصة بالمنتج، فإن الإصلاحات الدائمة هي الإصلاحات المألوفة. قم بجرد التطبيقات المتصلة، وقم بقطع التطبيقات التي لا يستخدمها أحد، وقم بتوسيع نطاق الباقي إلى أقل قدر من الامتيازات، وكن جاهزًا لإلغاء الرموز المميزة وتدويرها في اللحظة التي يبدأ فيها التكامل في التصرف بشكل غريب.

النمط تحت المسارات الثلاثة هو نفسه. إن ضوابط الهوية التي أمضت معظم الشركات العقد الماضي في بنائها كانت مخصصة لتسجيلات الدخول البشرية: MFA، والوصول المشروط، وسياسات الجلسة. تطبيقات OAuth وحسابات التكامل وبيانات اعتماد الخدمة التي تقوم بالعمل الفعلي في مكدس Salesforce الحديث تقع في الغالب خارجها كلها، دون مراقبة ومرخصة بشكل زائد.

قام المهاجمون الذين اكتشفوا ذلك بتشغيله لمدة عام، وأكثر من مرة، لم يكن الطريق إلى الداخل أكثر غرابة من بيانات الاعتماد التي نسي شخص ما إيقافها.

تواصلت Hacker News مع Microsoft للحصول على مزيد من التفاصيل حول إسنادها إلى الجهات الفاعلة التي تقف وراء هذه الحملات، وسوف تقوم بتحديث هذه القصة بأي رد.

شاركها.
اترك تعليقاً