ارتباط ShinyHunters با نفوذ به اطلاعات Salesforce سازمان‌های بزرگ جهانی افشا شد

موجی از نشت‌های اطلاعاتی که شرکت‌هایی مانند Qantas، Allianz Life، LVMH و Adidas را تحت تأثیر قرار داده، به گروه اخاذی ShinyHunters نسبت داده شده است. این گروه از حملات Voice Phishing برای سرقت داده‌ها از محیط‌های Salesforce CRM استفاده کرده است.

در ماه ژوئن، Google Threat Intelligence Group (GTIG) هشدار داد که عاملان تهدیدی با نام UNC6040 در حال اجرای حملات مهندسی اجتماعی علیه مشتریان Salesforce هستند.

در این حملات، مهاجمان با جعل هویت کارکنان پشتیبانی فناوری اطلاعات، با قربانیان تماس تلفنی برقرار کرده و تلاش می‌کردند آن‌ها را متقاعد کنند که به صفحه Connected App Setup در Salesforce مراجعه کنند. سپس از آن‌ها خواسته می‌شد یک “connection code” وارد کنند که در واقع نسخه‌ای مخرب از برنامه Salesforce Data Loader را از طریق OAuth به محیط Salesforce قربانی متصل می‌کرد.

در برخی موارد، این مؤلفه با عنوان جعلی “My Ticket Portal” بازنام‌گذاری شده بود تا ظاهر فریبنده‌تری در حمله داشته باشد.

موجی از نشت‌های داده‌ای با منشأ حملات فیشینگ صوتی و هدف قرار دادن Salesforce؛ نقش گروه ShinyHunters در اخاذی سایبری از شرکت‌های بزرگ

گروه Google Threat Intelligence Group (GTIG) اعلام کرده که حملات اخیر که به نشت داده از شرکت‌هایی نظیر Qantas، Allianz Life، LVMH و Adidas منجر شده، عمدتاً از طریق حملات Voice Phishing (Vishing) انجام گرفته، اما در برخی موارد، نام کاربری، گذرواژه و توکن‌های MFA نیز از طریق صفحات فیشینگ جعلی که مشابه صفحات لاگین Okta طراحی شده بودند، به سرقت رفته‌اند.

در زمان انتشار این گزارش، شرکت‌های متعددی از نشت داده مرتبط با پلتفرم‌های خدمات مشتریان یا سیستم‌های CRM ابری شخص ثالث خبر دادند.

شرکت‌های زیرمجموعه LVMH، از جمله Louis Vuitton، Dior و Tiffany & Co.، به‌صورت جداگانه وقوع دسترسی غیرمجاز به پایگاه‌داده‌های اطلاعات مشتریان خود را اعلام کردند. Tiffany Korea نیز به مشتریان اطلاع داد که مهاجمان به “پلتفرم شخص ثالثی که برای مدیریت داده مشتریان استفاده می‌شد” نفوذ کرده‌اند.

شرکت‌های Adidas، Qantas و Allianz Life نیز نشت داده از طریق سیستم‌های شخص ثالث را تأیید کردند؛ در این میان، Allianz اعلام کرده که این نشت از یک پلتفرم مدیریت ارتباط با مشتری (CRM) ابری شخص ثالث بوده است.

سخنگوی Allianz Life به BleepingComputer گفت:
«در تاریخ ۱۶ ژوئیه ۲۰۲۵، یک عامل تهدید به یک سیستم CRM ابری شخص ثالث که توسط شرکت بیمه Allianz Life Insurance Company of North America مورد استفاده قرار می‌گرفت، دسترسی پیدا کرد.»

هرچند شرکت Qantas تأیید نکرده که پلتفرم مورد نفوذ Salesforce بوده، اما گزارش‌های رسانه‌های محلی نشان می‌دهند داده‌ها از نمونه Salesforce شرکت Qantas به سرقت رفته‌اند. همچنین، اسناد دادگاه نشان می‌دهند که مهاجمان جداول “Accounts” و “Contacts” را هدف قرار داده‌اند؛ جداولی که به‌طور خاص به Salesforce تعلق دارند.

اگرچه هیچ‌یک از شرکت‌های قربانی، Salesforce را به‌طور عمومی نام نبرده‌اند، اما BleepingComputer تأیید کرده که همه آن‌ها در همان کمپینی هدف قرار گرفته‌اند که Google در گزارش خود به آن اشاره کرده است.

تاکنون هیچ‌گونه افشای عمومی داده یا اخاذی رسانه‌ای در پی نداشته است؛ اما طبق اطلاعات به‌دست آمده، مهاجمان از طریق ایمیل‌های خصوصی شرکت‌ها را تهدید به اخاذی کرده و خود را با نام ShinyHunters معرفی کرده‌اند.

گمان می‌رود در صورتی که این تلاش‌ها برای اخاذی ناکام بماند، مهاجمان داده‌های سرقت‌شده را به‌صورت عمومی افشا کنند؛ مشابه آنچه در حملات قبلی ShinyHunters به شرکت Snowflake رخ داد.

Genevieve Stark، مدیر تحلیل اطلاعات عملیات سایبری در GTIG، به BleepingComputer گفت:
«ما تاکنون هیچ سایتی برای افشای داده که با این حملات مرتبط باشد شناسایی نکرده‌ایم. محتمل است که مهاجمان به‌جای انتشار عمومی، قصد فروش داده‌ها را داشته باشند؛ رویکردی که با رفتارهای قبلی گروه ShinyHunters هم‌راستا است.»

Google اعلام کرده که هم‌اکنون حملات سرقت داده از Salesforce را تحت چند گروه تهدید مجزا دنبال می‌کند.

Stark در ادامه گفت:
«GTIG چندین حادثه تأثیرگذار بر نمونه‌های Salesforce را به گروه UNC6040 نسبت می‌دهد. در برخی موارد، فعالیت‌های اخاذی متعاقب با نام ShinyHunters توسط گروهی مجزا با شناسه UNC6240 انجام شده است.»

«دلیل نسبت دادن مرحله اخاذی به UNC6240، فاصله زمانی قابل‌توجه بین سرقت اولیه داده و آغاز فاز اخاذی است. ما هنوز ماهیت ارتباط بین این نفوذها و استفاده قبلی از برند ShinyHunters در فروم‌های زیرزمینی را تأیید نکرده‌ایم.»

چه کسانی پشت این حملات هستند؟

این نشت‌های اطلاعاتی باعث سردرگمی در میان تحلیل‌گران امنیت سایبری و رسانه‌ها (از جمله BleepingComputer) شده است، چرا که در زمان مشابه، گروه دیگری به نام Scattered Spider (که توسط Mandiant با شناسه UNC3944 رهگیری می‌شود) نیز بخش‌های هوانوردی، خرده‌فروشی و بیمه را با روش‌هایی مشابه هدف قرار داده بود.

با این حال، Scattered Spider بیشتر به نفوذهای عمیق شبکه‌ای معروف است که با سرقت داده و گاهی باج‌افزار خاتمه می‌یابند؛ در حالی‌که ShinyHunters (با شناسه UNC6040) عمدتاً روی اخاذی بر پایه سرقت داده از پلتفرم‌های ابری یا اپلیکیشن‌های وب تمرکز دارد.

به باور برخی تحلیل‌گران، اعضای UNC6040/UNC6240 و UNC3944 احتمالاً در انجمن‌های آنلاین مشترک حضور دارند و تداخل ساختاری بین این گروه‌ها وجود دارد. همچنین احتمال می‌رود این تهدیدها با شبکه‌ای موسوم به “The Com” که شامل مجرمان سایبری انگلیسی‌زبان حرفه‌ای است نیز هم‌پوشانی داشته باشد.

Allan Liska، تحلیل‌گر اطلاعات در شرکت Recorded Future، به BleepingComputer گفت:
«با توجه به شباهت‌های فنی (TTPs) بین حملات شناخته‌شده Scattered Spider و ShinyHunters، احتمالاً میان آن‌ها هم‌پوشانی وجود دارد.»

برخی محققان نیز گفته‌اند ShinyHunters و Scattered Spider ظاهراً هم‌زمان و هماهنگ در یک حوزه صنعتی فعالیت می‌کنند، که کار نسبت‌دهی دقیق حملات را دشوارتر می‌سازد.

همچنین برخی گزارش‌ها حاکی از آن است که هر دو گروه با اعضای سابق گروه Lapsus$ مرتبط هستند؛ یکی از اعضای دستگیرشده Scattered Spider نیز پیش‌تر در Lapsus$ فعالیت داشته است.

نظریه دیگری نیز مطرح شده مبنی بر اینکه ShinyHunters به‌عنوان یک سرویس اخاذی (Extortion-as-a-Service) عمل می‌کند و از طرف گروه‌های دیگر برای اخاذی، در ازای دریافت سهم از درآمد، وارد عمل می‌شود؛ مشابه مدل کاری باندهای باج‌افزار به‌عنوان سرویس (Ransomware-as-a-Service).

این نظریه با صحبت‌هایی که پیش‌تر BleepingComputer با اعضای ShinyHunters داشته هم‌راستا است؛ جایی که آن‌ها مدعی شده بودند عامل نفوذ نیستند، بلکه فقط فروشنده داده‌های سرقت‌شده هستند.

از جمله قربانیان قبلی مرتبط با ShinyHunters می‌توان به PowerSchool، Oracle Cloud، حملات Snowflake، AT&T، NitroPDF، Wattpad، MathWay و دیگر سازمان‌ها اشاره کرد.

ادامه حملات با وجود بازداشت اعضای ShinyHunters؛ تمرکز بر تقویت امنیت در Salesforce

برای پیچیده‌تر کردن اوضاع، افراد متعددی که با نام ShinyHunters در ارتباط بوده‌اند، تاکنون بازداشت شده‌اند؛ از جمله افرادی که به حملات سرقت داده از Snowflake، نفوذ به PowerSchool و اداره فروم هکری Breached v2 مرتبط بوده‌اند.

با این حال، حتی پس از این بازداشت‌ها، حملات جدیدی رخ داده‌اند و شرکت‌ها همچنان ایمیل‌های اخاذی دریافت می‌کنند که در آن مهاجمان با عبارت “We are ShinyHunters” خود را یک «مجموعه/کلکتیو» معرفی می‌کنند.

حفاظت از نمونه‌های Salesforce در برابر حملات

در بیانیه‌ای که به BleepingComputer ارائه شد، شرکت Salesforce تأکید کرد که زیرساخت پلتفرم دچار نفوذ نشده است، بلکه حساب‌های کاربران از طریق مهندسی اجتماعی مورد سوءاستفاده قرار گرفته‌اند.

Salesforce اعلام کرد:
«پلتفرم Salesforce مورد نفوذ قرار نگرفته و مشکلات شرح‌داده‌شده ناشی از هیچ‌گونه آسیب‌پذیری شناخته‌شده در پلتفرم ما نیست. در حالی‌که Salesforce سطح امنیتی در کلاس سازمانی را در تمامی محصولات خود لحاظ می‌کند، مشتریان نیز نقش حیاتی در حفاظت از داده‌هایشان ایفا می‌کنند—به‌ویژه در دوران افزایش حملات پیچیده فیشینگ و مهندسی اجتماعی.»

شرکت Salesforce از مشتریان خود خواسته تا اقدامات امنیتی زیر را برای تقویت سطح ایمنی حساب‌ها اجرا کنند:

• تعریف محدوده‌های IP معتبر برای ورود کاربران
• اعمال اصل حداقل سطح دسترسی برای مجوزهای اپلیکیشن‌ها
• فعال‌سازی احراز هویت چندمرحله‌ای (MFA)
• محدود کردن استفاده از اپلیکیشن‌های متصل (Connected Apps) و مدیریت سیاست‌های دسترسی
• استفاده از Salesforce Shield برای تشخیص تهدید پیشرفته، نظارت بر رویدادها، و اعمال سیاست‌های تراکنشی
• تعیین یک Security Contact اختصاصی برای مدیریت ارتباطات امنیتی در مواقع وقوع حادثه