حملة للهجمات الإلكترونية التي يتم تنظيمها عبر الهندسة الاجتماعية ضد المستخدمين Salesforce تُعزى الحالات الآن إلى ShinyHunters عصابة الجريمة الإلكترونية بثقة متزايدة ، ويبدو أن قائمة الضحايا تنمو يومًا بعد يوم.
حتى الآن ، تم ربط العديد من المنظمات المعرضة للخطر بهذه الهجمات. من بينها ماركات أزياء بما في ذلك أديداس؛ LVMH Brands Dior و Louis Vuitton و Tiffany & Co ؛ شركة المجوهرات باندورا، شركات التأمين مثل أليانزوشركات الطيران مثل كانتاس و طيران فرنسا-كيلومتر.
حتى قطاع التكنولوجيا ليس محصنًا من “عواطف” الشينهون. ذكرت Google أيضًا لقد تعرضت العملية التي تعرضت للعملية ، وكشفت في 5 أغسطس أن أحد حالات Salesforce الخاصة بها قد تم انتهاكها وبيانات عن عملاء المؤسسات الصغيرة والمتوسطة الحجم (SME)-على الرغم من أن هذا كان لحسن الحظ ، كان في الغالب معلومات تجارية متاحة للجمهور مثل أسماء الأعمال وأرقام الاتصال.
من هم شنياء وماذا يريدون؟
منذ أبريل 2025 ، سلسلة جريئة من الهجمات الإلكترونية التي تنشرها العنكبوت الجماعي المتناثر الناطق باللغة الإنجليزية – لا سيما حادثة انتهكت فيها العصابة أنظمة High Street Starwart Marks & Spencer (M&S) – جلبت هجمات الهندسة الاجتماعية إلى الاهتمام السائد.
على الرغم من وجود دليل غائب على أن يمكّن مجتمع Intel التهديد من أن يعزى بشكل قاطع الحوادث الإلكترونية ، إلا أن عددًا من هجمات ShinyHunters كانت مرتبطة بشكل مضاربة بالعنكبوت المبعثر. لكن العنكبوت المبعثر ليس له احتكار الهندسة الاجتماعية، ومع مجموعة الأدلة في هذه الحملة بالذات تشير بحزم إلى ShinyHunters ، يجدر معرفة المزيد عن هذه المجموعة.
يبدو أن عصابة ShinyHunters قد تشكلت في عام 2020 كعملية اختراق وتسرب ، وتغذية الملايين من السجلات المسروقة في المجال العام. أهدافها التي تتجاوز هذا الهدف غير واضحة ، على الرغم من أن المجموعة تتفرع الآن إلى ابتزاز صريح.
من بين ضحايا HinyHunters التاريخية ، إما ادعاء أو تأكيد ، AT&T Wireless و Microsoft و Santander و Ticketmaster. من المحتمل أن يتم انتهاك العديد من هؤلاء الضحايا عن طريق إساءة استخدام حسابات غير مضمونة معهم ندفة الثلج منصة إدارة البيانات السحابية. لاحظ أن هذا ليس دليلًا تم اختراق ندفة الثلج نفسها، مجرد استخدام غير آمن لمنتجاتها وخدماتها.
تم ربط ShinyHunters أيضًا بتجسيد مختلف منتدى تسرب بيانات الخرق السيئ السمعة. أحدث تطور في هذه القصة بالذات كان لائحة اتهام يونيو 2025 من قبل السلطات الأمريكية قراصنة بارزة تعرف باسم Intelbroker، زُعم أن مواطنًا بريطانيًا يبلغ من العمر 25 عامًا يدعى Kai West ، واعتقالات متزامنة في فرنسا من الآخرين المرتبطة بـ ShinyHunters.
ومن المثير للاهتمام ، أن مجموعة Google That Intelligence Group (GTIG) تقيّم أن شينهونويس وبين العنكبوت المبعثر قد يشاركون بعض الروابط وراء الكواليس ، حيث أن كلا العصابات تظهر دليلًا على الانتماء إلى COM.
COM عبارة عن حلقة قرصنة أوسع تضم مجموعات متعددة متباينة وغالبًا ما تكون منافسة. وفقًا لمكتب التحقيقات الفيدرالي ، فإنه ينظم في العديد من المنتديات بما في ذلك Discord و Telegram ، وأعضائها – كثيرون من محتمل القصر – يشاركون في أشكال مختلفة من الإجرام السيبراني.
لاحظت GTIG عناصر مختلفة من البنية التحتية التي تسيطر عليها المهاجم قيد الاستخدام عبر هجمات إلكترونية متعددة أجرتها مجموعات ذات علاقات مع COM ، وكذلك التكتيكات المتداخلة (الهندسة الاجتماعية على وجه الخصوص) ، واستهداف بيانات اعتماد OKTA والتركيز على ضرر المستخدمين في النسب الإنجليزية في المنظمات المتعددة المتصاعدة.
وفقًا لـ GTIG ، من المعقول أن تكون أوجه التشابه هذه بين الجهات الفاعلة المرتبطة العاملة في نفس المجتمع الأساسي ، بدلاً من اقتراح التعاون المباشر بين العنكبوت المتناثر والفخار.
ما هي الهندسة الاجتماعية؟
الهندسة الاجتماعية هي تقنية قرصنة مجربة واختبارها حيث يكون الضحايا المستهدفين مقتنعين بالتخلي عن الوصول إلى أسرار أصحاب العمل بوسائل مختلفة.
تتضمن طرق الهندسة الاجتماعية الشائعة الاستخدام رسائل البريد الإلكتروني المستهدفة التي تحاول خداع المستلمين لتنزيل شيء خطير مثل البرامج الضارة أو البرامج الفدية ، أو توفير معلومات حساسة مثل بيانات اعتماد نظام تكنولوجيا المعلومات الخاصة بهم.
سيقوم المهندسون الاجتماعيون الآخرون بإنشاء ذرائع لتلعب أهدافهم. كما رأينا ، في المجال الرقمي ، غالبًا ما ينتحلون شخصية مساعدة في تكنولوجيا المعلومات أو خدمات الدعم ، أو قد يقدمون شيئًا-والذي يبدو في كثير من الأحيان جيدًا جدًا-لإثارة الاهتمام ، وهي تقنية كلاسيكية من الطعم والتبديل المستخدمة من قبل المحتالين في العالم الحقيقي أيضًا.
الهندسة الاجتماعية ليست ممتلئة فقط تحت شعار تكنولوجيا المعلومات والأمن السيبراني – فهي تسبق عصر المعلومات. على مدار تاريخ البشرية ، نشر المحتالون تقنيات الهندسة الاجتماعية. في عصر الأسطورة ، عندما ترك اليونانيون القدامى حصانًا خشبيًا ضخمًا على أبواب تروي ، كانوا يراهنون على أن أحصنة طروادة ستقبلها كعروض سلام. ماذا هذا سوى شكل من أشكال الهندسة الاجتماعية؟
في النهاية ، تنجح الهندسة الاجتماعية لأنها تستغل عددًا من السمات البشرية الأساسية. نريد أن نثق ونكون مفيدين للآخرين ، ونحن معرضون للظروف التي تحفز الخوف أو الإلحاح وتسبب لنا في تجاوز الأجزاء الأكثر عقلانية من نفسنا ، نحن حيوانات فضولية وجشعين ، ونحن نميل إلى احترام معين للأشخاص الذين يبدو أنهم في وضع سلطة – مثل عامل الدعم في تكنولوجيا المعلومات.
لذلك ، كتكتيك للتهرب من دفاعات هدفك ، فإن الهندسة الاجتماعية هي الفائز.
كيف يهاجم ShinyHunters ضحاياها؟
كانت هناك بعض الصعوبة في الإسناد الدقيق المحيط بحملة ShinyHunters الحالية – كما سوف نستكشف – لكن الحقائق تظهر أنها بدأت على نطاق واسع في وقت ما في الأشهر القليلة الماضية ، على الرغم من أنها جاءت اهتمامًا أوسع في يونيو عندما ، من المفارقات مع بعد فوات الأوان ، أبلغت GTIG عن سلسلة من الهجمات الإلكترونية التي انتهك فيها ممثل التهديد الضحايا من خلال تطبيق محمل بيانات Salesforce.
Salesforce Data Loader هو تطبيق عميل مصمم لدعم الاستيراد بالجملة أو تصدير سجلات البيانات ، وبالتالي ، بالنظر إلى الوصول إلى المعلومات القيمة التي يوفرها ، من السهل معرفة سبب استهدافها من قبل مجرمي الإنترنت.
في الهجمات التي وصفتها GTIG ، انتهك ممثلي التهديد أنظمة أهدافهم من خلال انتحال شخصية موظفي دعم تكنولوجيا المعلومات في المكالمات الهاتفية. هذه التقنية هي شكل من أشكال الهجوم الهندسي الاجتماعي المعروف باسم التصيد الصوتي – أو ، ببساطة ، Vishing.
خلال المكالمات ، تم إبلاغ الضحايا بمسألة واضحة للمبيعات وتوجيه صفحة Salesforce الرسمية للتطبيقات المتصلة. ثم أصدرهم المتصل تعليمات إليهم بتوصيل نسخة ضارة من طراز طروية من لوادر البيانات التي يتحكم فيها ممثل التهديد إلى بوابة Salesforce الخاصة بمؤسستها. استضافت البنية التحتية الخاصة بها لوحة تصيد OKTA مصممة لخداع الضحايا لزيارتها من الأجهزة المحمولة أو أجهزة الكمبيوتر العمل لتوفير بيانات الاعتماد ورموز المصادقة متعددة العوامل (MFA) اللازمة للقيام بذلك.
مع الحصول على Access ، تمكن ممثل التهديد من استخدام واجهة برمجة تطبيق Data Loader (API) للاستعلام والبيانات الحساسة للتخفيف مباشرة من بيئات Salesforce الخاصة بالضحايا. أبلغت GTIG عن عناوين IP المستخدمة في العصابة المرتبطة بخدمة شبكة Mullvad Virtual Private (VPN) الشرعية للوصول إلى البيانات وتجاوزها.
وقد لوحظ أيضًا أن العصابة تنشر تطبيقات مخصصة – عادةً برامج نصية بيثون التي تعمل بطريقة مماثلة لعمليات تحميل البيانات وبيانات التهوية عبر خدمة عدم الكشف عن هوية TOR ، وهو تكتيك قد يتم تصميمه لجعل التتبع والإسناد أكثر صعوبة.
لاحظت GTIG أيضًا أن المجموعة تحولت بعيدًا عن استخدام حسابات Salesforce التجريبية التي تم إعدادها عبر خدمات بريد الويب لاستخدام الحسابات المعرضة للخطر في المؤسسات الأخرى لتسجيل البرامج الضارة.
في المراحل النهائية من الهجوم السيبراني ، يتعامل مجرمو الإنترنت من الضحية بالطلب الابتزاز – عادةً ما يتم دفع بيتكوين في غضون 72 ساعة. في بعض الحالات ، قال GTIG ، لقد مر أكثر من شهر بين النقطة التي قاموا بها بتوسيع البيانات التي اتخذوها.
قد تكون هذه الفجوة مؤشرا على كروس أو تعاون داخل شبكة com الأوسع ؛ عزا GTIG نشاط التسلل الأولي إلى مجموعة تم وصفها باسم UNC6040 ، ونشاط الابتزاز إلى مجموعة تم وصفها باسم UNC6240 ، والتي ادعت “باستمرار” أنها شينهون. يمكن أن يشير هذا إلى وجود شراكة بين مجموعتين متميزتين لتحسين البيانات المسروقة ، ولكن لا توجد أدلة كافية لاتخاذ قرار ثابت.
اقترح GTIG كذلك أن RamyHunters قد يستعدون لتصعيد حملتها من خلال إطلاق موقع تسرب البيانات لزيادة الضغط على ضحاياها.
ما الذي يفعله Salesforce حيال ذلك؟
على الرغم من أن منتجاتها وخدماتها التي يتم استغلالها في هجمات ShinyHunters ، من المهم للغاية أن ندرك أن Salesforce ليس بأي شكل من الأشكال. إن التدخلات ليست نتيجة لأي فشل تم الإبلاغ عنه من جانبه أو أي ضعف في يوم صفر في برنامجه.
لم يعلق Salesforce على أي من الهجمات المتميزة المعتمدة على ShinyHunters – للقيام بذلك بشكل صريح قد تدعو المتاعب القانونية في المستقبل – لكنها أعادت تأكيدها إرشادات لمستخدميها على حماية بيئاتهم. في ديباجة هذا التوجيه ، اعترف دار البرمجيات Salesforce بأنه يعترف باستخدام تطبيق محمل البيانات Trojanised في بعض الحالات.
“الأمن السيبراني هو أ المسؤولية المشتركة بين مقدم الخدمة وعملائه ، “كتب فريق Cyber التابع للشركة:” في حين أن Salesforce يبني أمنًا على مستوى المؤسسات في كل جزء من منصتنا ، فإن العملاء يلعبون دورًا حيويًا في حماية بياناتهم-خاصة وسط ارتفاع مؤخراً في الهندسة الاجتماعية المتطورة وهجمات التصيد التي تستهدف عملاء Salesforce. “
ما هي الخطوات التي يمكنني اتخاذها الآن؟
بشكل عام ، فإن إرشادات Salesforce بشأن حماية بيئات العملاء ضد تهديد ShinyHunters تعتمد على أفضل الممارسات الأمنية عبر الإنترنت وتوجيهات ثابتة.
حدد عملاق البرامج خمس خطوات رئيسية يمكن لعملائها اتخاذها ، إذا لم يفعلوا ذلك بالفعل:
- يجب أن يبدأ عملاء Salesforce تقييد نطاقات IP لتسجيل الدخول لشبكة مؤسساتهم وشبكة VPN الخاصة بهم للتأكد من أن IPs غير المحددة أو غير الموثوقة يتم رفضها بشكل قاطع من الوصول ، أو على الأقل تحدي. إذا كانت الظروف تدعو إليها ، فقد يرغب المسؤولون أيضًا في تقييد عناوين تسجيل الدخول لتسجيل الدخول على مستوى الملف الشخصي ، مما يعني أنه يمكن للمستخدمين الأفراد تسجيل الدخول فقط من عناوين IP المسموح بها.
- يجب على المشرفين الالتزام بـ مبدأ أقل امتياز (POLP) الإرشادات التي يتم من خلالها إعطاء المستخدمين فقط الأذونات التي يحتاجون إليها لأداء وظائفهم ، مما يحد من وصولهم إلى المعلومات الحساسة – لا يوجد سبب يجعل شخص ما في الموارد البشرية يحتاج إلى بيانات المبيعات أو التسويق ، على سبيل المثال. تحدد إرشاداتها العديد من الخطوات التي يمكن أن يتخذها المستعمرون تحت هذه المظلة ، ولكن فيما يتعلق بتحديد محمل البيانات ، على وجه التحديد ، فإن عدد المستخدمين المسموح لهم بالاستيراد أو تحديث أو حذف السجلات يجب تقييد.
- يجب على المسؤولين قم بإعداد وفرض وزارة الخارجية كمسألة بالطبع. حتى إذا كانت الجهات الفاعلة في التهديد قادرة على هزيمةها من خلال الهندسة الاجتماعية ، فإنها تظل طبقة إضافية مفيدة من الدفاع – خاصة ضد هجمات التصيد الخالص.
- قد يرغب المسؤولون في التفكير في استكشاف ملكية Salesforce درع جناح أدوات الأمان ، والذي يتضمن ميزات مثل مراقبة الأحداث والكشف عن التهديدات وإدارة سياسات أمان المعاملات وإدارة البيانات.
- أخيرًا ، ينصح Salesforce بأن يكون لدى جميع العملاء المميزين والمستوى الأول جهة اتصال أمنية مخصصة، في حين يتم تشجيع المستخدمين القياسيين على الحفاظ على نظام حالي ، بحيث يمكن لفرقها الوصول إلى الشخص المناسب إذا تحدد حادثة.
