مجموعة UNC6040 Vishing
كشف باحثو الأمن السيبراني عن مجموعة تهديد ذات دوافع مالية، تُعرف باسم UNC6040، والتي رسخت مكانتها في حملات التصيد الصوتي (Vishing). صُممت هذه الهجمات خصيصًا للتسلل إلى بيئات Salesforce، وسرقة البيانات الحساسة على نطاق واسع، واستغلال المعلومات المسروقة للابتزاز.
جدول المحتويات
وجه مألوف: روابط لمجموعة الجرائم الإلكترونية “ذا كوم”
تشير تكتيكات وسلوكيات UNC6040 إلى صلات بشبكة The Com، وهي شبكة جرائم إلكترونية واسعة النطاق. كما تتشابه عمليات هذه المجموعة مع Scattered Spider، وهي جهة أخرى في المجموعة معروفة بانتحال هوية فريق دعم تكنولوجيا المعلومات واستهداف بيانات الاعتماد. ومع ذلك، تختلف أهدافهما النهائية، إذ تسعى Scattered Spider إلى توسيع نطاق وصولها، بينما تهدف UNC6040 إلى استخراج بيانات Salesforce.
انتحال الشخصية في العمل: أسلوب عمل التصيد الصوتي
ينبع نجاح المجموعة من استخدامها لأساليب هندسة اجتماعية مقنعة للغاية عبر الهاتف. فمن خلال انتحال شخصية موظفي دعم تكنولوجيا المعلومات، الذين غالبًا ما يجيدون اللغة الإنجليزية، يتمكن مشغلو UNC6040 من التلاعب بالموظفين ودفعهم إلى تسليم بيانات اعتمادهم أو القيام بأعمال تُسهّل الوصول غير المصرح به إلى أنظمة الشركة.
استغلال الثقة: مخطط تحميل بيانات Salesforce المُعدَّل
من أبرز هذه الأساليب إقناع الضحايا بترخيص نسخة معدلة من أداة تحميل بيانات Salesforce، متخفية تحت أسماء مضللة مثل "بوابة تذاكري". يتيح هذا للمهاجمين الوصول إلى واجهة تطبيق Salesforce المتصلة، والتي يستغلونها لسرقة كميات هائلة من بيانات العملاء من داخل المنصة.
ما وراء Salesforce: الحركة الجانبية والاستغلال الأوسع
بمجرد دخوله، لا يتوقف UNC6040 عند Salesforce. بل ينتقل المهاجمون أفقيًا عبر الشبكة، ويجمعون البيانات من منصات سحابية أخرى مثل Okta وWorkplace وMicrosoft 365. هذا يُتيح اختراقًا أوسع ويزيد من قيمة المعلومات المسروقة.
السداد المتأخر: تكتيكات الابتزاز الاستراتيجية
من المثير للاهتمام أن محاولات الابتزاز غالبًا ما تأتي بعد أشهر من الاختراق الأولي، مما يشير إلى تأخير متعمد واستراتيجي. وتصاحب هذه المطالبات أحيانًا ادعاءات بالانتماء إلى مجموعة القرصنة سيئة السمعة "شيني هانترز"، وهي خطوة يُرجّح أنها تهدف إلى تضخيم الضغط النفسي على الضحايا.
الاستطلاع الأول: التصيد الصوتي المدعوم بمراقبة الهاتف الآلية
يستخدم UNC6040 أيضًا أنظمة هاتف آلية مزودة برسائل مسجلة وخيارات قوائم لجمع المعلومات. تكشف هذه الأنظمة عن أرقام الدعم الداخلي، ومشاكل الموظفين الشائعة، وأسماء التطبيقات، وتنبيهات النظام، وهي معلومات استخباراتية أساسية لتصميم سيناريوهات تصيد صوتي مُقنعة.
الهندسة الاجتماعية في عصر العمل عن بُعد
تستفيد المجموعة من التحول إلى دعم تكنولوجيا المعلومات عن بُعد، حيث اعتاد الموظفون على التعامل مع موظفي دعم غير مألوفين. تُهيئ هذه البيئة ظروفًا مثالية للهندسة الاجتماعية الخادعة، خاصةً عند اقترانها باستطلاع مكثف.
استجابة Salesforce وتحذيرات العملاء
أقرت شركة Salesforce بالهجمات في مارس 2025، محذرة عملاءها من حملات الهندسة الاجتماعية التي تنتحل صفة موظفي تكنولوجيا المعلومات. وقد دأب المهاجمون على استدراج المستخدمين إلى صفحات التصيد الاحتيالي أو توجيههم إلى login.salesforce[.]com/setup/connect للموافقة على تطبيقات متصلة ضارة، وهي عادةً إصدارات معدلة من Data Loader تحت شعارات مضللة.
لا يوجد ثغرة في النظام: استغلال الضعف البشري
أكدت شركة Salesforce أن هذه الحوادث ناجمة عن تلاعب بالمستخدمين، وليس عن أي ثغرات تقنية في أنظمتها. وتؤكد هذه الهجمات أن الوعي الفردي وتدابير الأمن السيبراني لا يزالان خطي دفاع أساسيين، لا سيما ضد عمليات التصيد الصوتي.
التهديد المستمر: تحذير للمستقبل
تُظهر التكتيكات التي استخدمها UNC6040 أن التصيد الصوتي لا يزال وسيلةً فعّالة للغاية لاختراق دفاعات المؤسسات. ونظرًا للفارق الزمني بين الوصول الأولي والابتزاز، قد تجد المزيد من المؤسسات نفسها معرضةً للخطر في الأسابيع أو الأشهر القادمة. وستكون اليقظة والضوابط الداخلية الصارمة عاملين أساسيين في الحد من هذا التهديد المتنامي.
