كشفت مجموعة تحليل التهديدات التابعة لشركة "غوغل" (Google Threat Intelligence Group) عن حملة اختراق متقدمة تُعرف باسم "UNC6040"، تستهدف موظفي الشركات في أوروبا والأمريكتين.
و تستخدم هذه الحملة أساليب الهندسة الاجتماعية لخداع الموظفين وتثبيت نسخة معدّلة من تطبيق "Data Loader" التابع لـ "سيلزفورس" (Salesforce)، مما يمنح المهاجمين إمكانية الوصول إلى بيانات حساسة داخل بيئات الشركات المستهدفة.
تفاصيل الحملة
أسلوب الهجوم: يعتمد المهاجمون على مكالمات هاتفية احتيالية (vishing) لإقناع الموظفين بزيارة صفحة إعداد مزيفة لتطبيق "سيلزفورس"، حيث يُطلب منهم تثبيت النسخة المعدّلة من التطبيق.
التطبيق المستهدف: "Data Loader" هو أداة شرعية تُستخدم لاستيراد البيانات بكميات كبيرة إلى بيئات "سيلزفورس". والنسخة المعدّلة التي يستخدمها المهاجمون تُحاكي التطبيق الأصلي ولكنها تحتوي على برمجيات خبيثة.
أهداف الحملة: بمجرد تثبيت التطبيق الخبيث، يتمكن المهاجمون من الوصول إلى معلومات حساسة، وقد يمتد الهجوم ليشمل خدمات سحابية أخرى وشبكات داخلية للشركات.
نطاق التأثير:
أفادت "غوغل" بأن حوالي 20 منظمة تأثرت بهذه الحملة، مع تأكيد سرقة بيانات من بعض هذه المنظمات.
وتشير البنية التحتية التقنية المستخدمة في هذه الحملة إلى ارتباطها بمجموعة إجرامية تُعرف باسم "The Com"، وهي شبكة غير منظمة من المجرمين السيبرانيين.
ما هي ردود الفعل؟
تعمل "غوغل"على مراقبة هذه الحملة وتحليلها، وتوصي الشركات بتوعية موظفيها حول مخاطر الهندسة الاجتماعية وتعزيز إجراءات الأمان.
أما"سيلزفورس"فقد أكدت أن الهجوم لا يستغل ثغرات في منصتها، بل يعتمد على خداع المستخدمين.
وأشارت إلى أنها أصدرت تحذيرًا في آذار/مارس 2025 حول هجمات "vishing" واستغلال نسخ معدّلة من "Data Loader".
توصيات أمنية
- توعية الموظفين بعدم تثبيت تطبيقات من مصادر غير موثوقة.
- التحقق من صحة المكالمات والروابط المتعلقة بالتطبيقات والخدمات المستخدمة.
- تطبيق إجراءات تحقق متعددة العوامل وتعزيز مراقبة الأنشطة غير المعتادة داخل الشبكات.
ويبرز هذا الهجوم أهمية اليقظة المستمرة وتحديث استراتيجيات الأمان لمواجهة التهديدات المتطورة في عالم الأعمال الرقمي.
