التقارير أن هجومًا متطورًا على سلسلة التوريد قد دمر بيانات مئات المؤسسات، وربط الاختراق بتكامل بالغ الأهمية بين منصة نجاح العملاء Ggt وشركة إدارة علاقات العملاء العملاقة Salesforce.
تعلن مجموعة الاختراق الشهيرة SHs مسؤوليتها عن الاختراق، الذي يُزعم أنه أثر على أكثر من 200 شركة. لم يعتمد هجوم الاختراق على اختراق Salesforce مباشرةً، بل على استغلال الاتصال الموثوق الذي تم إنشاؤه عبر تطبيقات خارجية.
سارعت شركة Salesforce لاحتواء التهديد. وعطّلت الشركة رسميًا الاتصال بين التطبيقات المنشورة على Gainsight ونظام Salesforce البيئي بعد رصد "نشاط غير عادي".
سارعت شركة Salesforce إلى احتواء التهديد. قامت الشركة رسميًا بتعطيل الاتصال بين التطبيقات المنشورة على Ggt ونظام Salesforce البيئي بعد رصد "نشاط غير عادي".
عن Salesforce، يشير تحقيقها إلى أن هذا النشاط سهّل الوصول غير المصرح به إلى بيانات العملاء، وتحديدًا من خلال الاتصال الخارجي للتطبيق.
استغلال رموز Oth الموثوقة
تُسلّط آليات هذه الحملة الضوء على اتجاهٍ متنامي في الحرب السيبرانية الحديثة: استهداف "المفاتيح" بدلاً من "الأقفال".
حدّدت مجموعة لاستخبارات التهديدات (GTIG)، التي تضم باحثين من شركة Min، الجهات الفاعلة المُهدّدة بأنها تابعة لشركة SHs. وقد اخترق هؤلاء الخصوم رموز Oth التابعة لجهات خارجية.
في بيئة SaaS، تعمل رموز Oth كأذونات رقمية، مما يسمح لتطبيقات مثل Ggt بالتواصل مع Salesforce دون الحاجة إلى تسجيل دخول المستخدم في كل مرة.
بسرقة هذه الرموز، قد يتمكن المهاجمون من تجاوز المصادقة متعددة العوامل ودفاعات تسجيل الدخول القياسية، متخفين في صورة تطبيق موثوق به لسرقة بيانات الشركة الحساسة. تسمح هذه الطريقة للجهات الفاعلة بالتحرك بشكل جانبي داخل بيئات السحابة دون أن يتم اكتشافها من قِبل أنظمة الأمن المحيطية التقليدية.
رغم أن نطاق فقدان البيانات قد يكون هائلاً، إلا أن شركة Salesforce كانت واضحة في تحديد الخلل. الشركة أنه "لا يوجد ما يشير إلى أن هذه المشكلة ناجمة عن أي ثغرة أمنية في منصة Salesforce". بل إن الاختراق مرتبط ارتباطًا وثيقًا بالاتصال الخارجي وإدارة بيانات الاعتماد اللازمة لتكامل Ggt.
حاليًا، يتعذر على العملاء ربط تطبيقاتهم المنشورة على Ggt بـ Salesforce حتى إشعار آخر. وتُبلغ كلٌّ من Salesforce وMin بنشاط المؤسسات التي تُظهر علامات اختراق.
تعكس هذه الحادثة حملات مماثلة لوحظت مؤخرًا، مثل الهجمات التي تستهدف الإشارة إلى جهد متضافر من جانب مجموعات التهديد لتدقيق واستغلال أنظمة SaaS حيث يتم في كثير من الأحيان منح أذونات لأطراف ثالثة ثم نسيانها.
إجراءات عاجلة لمسؤولي البرمجيات كخدمة (SaaS)
يُعدّ هذا الحادث بمثابة جرس إنذار بالغ الأهمية للمؤسسات التي تعتمد على منصات البرمجيات كخدمة (SaaS) المترابطة. ونحثّ فرق الأمن على التعامل معه فورًا كإشارة لتدقيق بيئة السحابة الخاصة بهم بالكامل.
التوصية الأساسية هي مراجعة جميع التطبيقات المتصلة ضمن مثيلات Salesforce وإلغاء أي تكامل غير مستخدم أو مشبوه أو مرتبط بتطبيقات Ggt المتأثرة.
ينبغي على المؤسسات التي تستخدم تكاملات Ggt مراقبة الاتصالات الرسمية من كلا البائعين، Salesforce وGgt.
مع ذلك، يلزم اتخاذ إجراءات دفاعية استباقية. في حال اكتشاف أي نشاط غير طبيعي من التكامل، يجب على المسؤولين تغيير بيانات الاعتماد فورًا وافتراض احتمالية حدوث اختراق.
مع تزايد توجه الجهات الفاعلة في مجال التهديدات نحو الهجمات القائمة على الهوية وسرقة الرموز، أصبح الحفاظ على أذونات الطرف الثالث بنفس أهمية تصحيح الثغرات الأمنية في البرامج.
فيما يلي جدول مؤشرات الاختراق (IoCs) المرتبطة بحملة SHs التي تستهدف تكاملات Salesforce وGgt.
| IOC Type | Value | First Seen (UTC) | Last Seen (UTC) | Observed Activity |
|---|---|---|---|---|
| IP Address | 104.3.11[.]1 | 2025-11-08 13:11:29 | 2025-11-08 13:15:23 | AT&T IP; reconnaissance and unauthorized access. |
| IP Address | 198.54.135[.]148 | 2025-11-16 21:48:03 | 2025-11-16 21:48:03 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 198.54.135[.]197 | 2025-11-16 22:00:56 | 2025-11-16 22:06:57 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 198.54.135[.]205 | 2025-11-18 10:43:55 | 2025-11-18 12:09:35 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 146.70.171[.]216 | 2025-11-18 20:21:48 | 2025-11-18 20:50:13 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 169.150.203[.]245 | 2025-11-18 20:54:02 | 2025-11-18 23:04:12 | Surfshark VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 172.113.237[.]48 | 2025-11-18 21:23:29 | 2025-11-18 21:51:32 | NSocks VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 45.149.173[.]227 | 2025-11-18 22:05:15 | 2025-11-18 22:05:18 | Surfshark VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 135.134.96[.]76 | 2025-11-19 08:26:18 | 2025-11-19 10:30:37 | IProxyShop VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 65.195.111[.]21 | 2025-11-19 10:57:37 | 2025-11-19 10:59:19 | IProxyShop VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 65.195.105[.]81 | 2025-11-19 11:17:51 | 2025-11-19 11:48:07 | Nexx VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 65.195.105[.]153 | 2025-11-19 12:23:17 | 2025-11-19 12:23:35 | ProxySeller VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 45.66.35[.]35 | 2025-11-19 12:47:43 | 2025-11-19 12:47:45 | Tor VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 146.70.174[.]69 | 2025-11-19 12:47:49 | 2025-11-19 12:47:49 | Proton VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 82.163.174[.]83 | 2025-11-19 14:30:36 | 2025-11-19 22:26:46 | ProxySeller VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 3.239.45[.]43 | 2025-10-23 00:17:22 | 2025-10-23 00:45:36 | AWS IP; reconnaissance against customers with compromised Gainsight access token. |
| User Agent | python-requests/2.28[.]1 | 2025-11-08 13:11:19 | 2025-11-08 13:15:01 | Not an expected user agent string used by Gainsight connected app; use in conjunction with other IOCs shared. |
| User Agent | python-requests/2.32[.]3 | 2025-11-16 21:48:03 | 2025-11-16 21:48:03 | Not an expected user agent string used by Gainsight connected app; use in conjunction with other IOCs shared. |
| User Agent | python/3.11 aiohttp/3.13[.]1 | 2025-10-23 00:00:00 | 2025-10-23 00:01:00 | Not an expected user agent string used by Gainsight connected app; use in conjunction with other IOCs shared. |
| User Agent | Salesforce-Multi-Org-Fetcher/1.0 | 2025-11-18 22:05:13 | 2025-11-19 22:24:01 | Leveraged by threat actor for unauthorized access; also observed in Salesloft Drift activity. |
.png "English"){kind=small}
0 تعليقات