كشف باحثون في الأمن السيبراني عن حملة واسعة لسرقة البيانات استغل فيها قراصنة منصة Salesloft لأتمتة المبيعات، حيث تمكنوا من الاستيلاء على رموز OAuth ورموز التحديث المرتبطة بتطبيق الدردشة الذكي Drift AI، ما أدى إلى اختراق بيانات حساسة لعملاء Salesforce.
مجموعة UNC6395 وراء الهجوم
أرجع باحثو Google Threat Intelligence Group وMandiant الهجوم إلى جهة تهديد تُعرف باسم UNC6395، معتبرين أن النشاط اتسم بطابع انتهازي. ووفقاً للتقارير، فقد بدأ الهجوم في 8 أغسطس 2025 واستمر حتى 18 أغسطس 2025، حيث استهدف القراصنة بيئات عملاء Salesforce من خلال رموز OAuth المخترقة المرتبطة بتطبيق Drift التابع لـ Salesloft.
وقد رُصدت محاولات واسعة لتصدير كميات كبيرة من البيانات من العديد من حسابات Salesforce المؤسسية، شملت مفاتيح وصول إلى Amazon Web Services (AWS)، وكلمات مرور، إضافة إلى رموز وصول مرتبطة بخدمة Snowflake.
آلية الهجوم والإجراءات الأمنية
أظهر المهاجمون وعياً بأمن العمليات من خلال حذف مهام الاستعلام لتغطية آثارهم، فيما أوصت Google المؤسسات بمراجعة السجلات المرتبطة، وإلغاء مفاتيح API، وتدوير بيانات الاعتماد، وإجراء تحقيقات أوسع لمعرفة مدى الاختراق.
وأعلنت Salesloft في 20 أغسطس 2025 أنها رصدت ثغرة أمنية في تطبيق Drift، وقامت بشكل استباقي بإلغاء جميع الاتصالات بينه وبين Salesforce، مؤكدة أن الحادثة لم تؤثر على العملاء الذين لم يدمجوا Drift مع Salesforce.
وأكدت الشركة أن المهاجمين استغلوا بيانات اعتماد OAuth لاستخراج معلومات حساسة من بيئات العملاء، بما في ذلك بيانات مرتبطة بالكائنات الأساسية في Salesforce مثل الحالات، الحسابات، المستخدمين، والفرص التجارية. كما نصحت مسؤولي الأنظمة بإعادة توثيق الاتصال مع Salesforce لإعادة تفعيل التكامل بأمان.
موقف Salesforce وتحذيرات من هجمات أوسع
من جانبها، أوضحت Salesforce أن “عدداً محدوداً من العملاء” قد تأثروا بالحادثة، مؤكدة أن أصل المشكلة يعود إلى اختراق الاتصال بالتطبيق. وأضافت أنها تعاونت مع Salesloft لتعطيل الرموز النشطة وإزالة Drift من متجر AppExchange، إلى جانب إخطار العملاء المتضررين.
ويأتي هذا التطور في ظل تزايد استهداف بيئات Salesforce من قبل مجموعات تهديد مالية مثل UNC6040 وUNC6240 (المعروفة باسم ShinyHunters)، حيث تحالفت الأخيرة مع مجموعة Scattered Spider (UNC3944) للحصول على وصول أولي إلى الأنظمة.
حملة مميزة من حيث الحجم والانضباط
وصف Cory Michal، المدير الأمني لشركة AppOmni، الهجمات بأنها لافتة للنظر من حيث الحجم والانضباط، موضحاً أن المهاجمين استهدفوا مئات من عملاء Salesforce بعناية، عبر استغلال رموز OAuth المسروقة لتنفيذ استعلامات مهيكلة وتصدير بيانات على نطاق واسع، مع الحرص على إخفاء آثارهم.
وأشار أيضاً إلى أن عدداً كبيراً من المؤسسات المستهدفة كانت شركات تقنية وأمن معلومات نفسها، ما يعزز فرضية أن هذه الحملة قد تمثل خطوة أولى في هجوم أوسع على سلسلة التوريد، يهدف إلى استغلال العلاقات الموثوقة بين مقدمي الخدمات والعملاء والشركاء.
