ووفقًا لفريق استخبارات التهديدات التابع لجوجل، تعتمد هذه المجموعة على التصيد الصوتي عن طريق انتحال هويات موظفي دعم تكنولوجيا المعلومات (IT Support) لإقناع الضحايا بإعطائهم معلومات حساسة مثل بيانات الاعتماد.
وأوضحت جوجل في تقريرها:
“نجحت UNC6040 مرارًا في اختراق الشبكات عبر مكالمات هاتفية احتيالية، حيث يخدع المشغلون الموظفين الناطقين بالإنجليزية لتنفيذ إجراءات تمنحهم وصولاً غير مصرح به أو تسرب بيانات اعتماد قيمة.”
كيف يعمل الهجوم؟
-
يستخدم المهاجمون نسخة معدلة من أداة Salesforce Data Loader (المخصصة لاستيراد وتصدير البيانات بكميات كبيرة).
-
يوجهون الضحايا لزيارة صفحة إعداد التطبيقات المتصلة بـ Salesforce وموافقة تطبيق مزيف يحمل اسمًا مختلفًا (مثل “My Ticket Portal”).
-
بمجرد الموافقة، يحصل المهاجمون على صلاحيات غير مصرح بها لسرقة البيانات من بيئة Salesforce.
امتداد الهجوم وسرقة بيانات إضافية
لا يقتصر الهجوم على سرقة بيانات Salesforce فقط، بل يمتد ليشمل:
-
التنقل داخل شبكة الضحية.
-
اختراق منصات أخرى مثل Okta و Workplace و Microsoft 365.
-
استخدام البيانات المسروقة في حملات ابتزاز بعد عدة أشهر من الاختراق الأولي.
وأشارت جوجل إلى أن المجموعة تدعي انتماءها إلى هاكرز “ShinyHunters” المشهورين لزيادة الضغط على الضحايا.
وتتشابه UNC6040 مع مجموعات مرتبطة بمنظمة The Com الإجرامية، خاصة في:
-
استهداف بيانات اعتماد Okta.
-
استخدام التصيد الصوتي عبر دعم تكنولوجيا المعلومات، وهي نفس الطريقة التي تستخدمها مجموعة Scattered Spider.
تحذير Salesforce من التصيد الصوتي
في مارس 2025، حذرت Salesforce من هجمات التصيد الصوتي التي تستهدف موظفيها عبر:
-
انتحال هويات دعم تكنولوجيا المعلومات.
-
خداع الموظفين لتفعيل تطبيقات ضارة متصلة بـ Salesforce.
-
سرقة بيانات الاعتماد ورموز المصادقة الثنائية (MFA).
وأكدت الشركة:
“جميع الحوادث المسجلة تعتمد على خداع المستخدمين، وليس على ثغرات في أنظمتنا. نقدم لعملائنا أدوات مثل المصادقة الثنائية (MFA) وتقييد عناوين IP لتعزيز الأمان.”
