Смартфон на тёмном антистатическом коврике с экраном, отображающим запрос авторизации OAuth. Рядом лежит корпоративный бейдж на шнурке, уходящий в тень.


В октябре 2025 года extortion-группа ShinyHunters запустила даркнет-площадку с данными шести организаций - Albertsons, Fujifilm, Gap, Qantas, Engie Resources, Vietnam Airlines - и заявила о компрометации около миллиарда записей из Salesforce-инстансов 39 компаний. Среди пострадавших - Cisco, Disney, FedEx, Marriott, Baker Distributing. Salesforce публично отказалась платить выкуп.

Самое интересное тут - чем атакующие НЕ пользовались. Ни одного zero-day. Вся цепочка строилась на телефонных звонках и штатных механизмах OAuth. Позвонили, попросили, получили доступ. Всё.

Бизнес-логика атаки: почему extortion-группы нацелились на SaaS-платформы​

Зачем ShinyHunters и связанным кластерам (UNC6040, UNC6240, UNC6395) именно корпоративные SaaS? Подробнее - в нашем статье о защита от ransomware.

Рост атак на облачную инфраструктуру - не вендорская страшилка. По данным CrowdStrike Global Threat Report 2025, число облачных вторжений выросло на 26% за год. 75% инцидентов эксплуатировали действительные учётные данные - не уязвимости, не малварь, а легитимный доступ. IBM X-Force фиксирует ещё жёстче: +71% атак с использованием валидных credentials год к году. Verizon DBIR 2025 подтверждает - 38% утечек данных связаны с кражей учётных данных.

Salesforce хранит CRM-записи: имена клиентов, email, телефоны, историю сделок, тикеты поддержки. У авиакомпаний вроде Qantas - паспортные данные, истории занятости, данные программ лояльности. SharePoint - корпоративные документы, внутренние wiki, файловые хранилища. Для extortion-группы - идеальная цель по трём причинам.

Первая - клиентская база Salesforce конвертируется в целевой фишинг, перепродажу на даркнете и шантаж. Baker Distributing - дистрибьютор HVAC-оборудования, чей Salesforce содержит данные тысяч контрагентов. Утечка данных такого масштаба бьёт по всей цепочке поставок.

Вторая - blast radius. Компрометация одного OAuth-токена через стороннюю интеграцию открывает доступ к данным десятков и сотен tenant'ов. Случай с Salesloft Drift, по оценке Valence Security, затронул более 700 организаций за десять дней. Один токен - семьсот жертв.

Третья - слепая зона security-команд. Классический EDR и SIEM заточены под endpoint-телеметрию. Легитимный API-вызов от авторизованного OAuth-приложения не генерирует алертов в стандартной конфигурации. Утечка, о которой вы узнаёте из даркнет-поста, а не из собственного SIEM - кошмар для любого SOC.

Привязка к MITRE ATT&CK: kill chain укладывается в конкретные техники - Cloud Accounts (T1078.004, Initial Access), Customer Relationship Management Software (T1213.004, Collection), SharePoint (T1213.002, Collection), Data from Cloud Storage (T1530, Collection), Exfiltration to Cloud Storage (T1567.002, Exfiltration).

Kill chain ShinyHunters: четыре фазы компрометации Salesforce​

1783860816488.webp

Атака, задокументированная исследователями Seqrite, Microsoft Threat Protection и Valence Security, строилась по чёткому четырёхфазному сценарию.

Фаза 1: вишинг и социальная инженерия​

Всё начиналось с телефонного звонка. Злоумышленники - через Mullvad VPN для маскировки исходящих - звонили сотрудникам целевых организаций, представляясь IT-поддержкой. Иногда - называясь сотрудниками Salesforce. Легенда: срочный тикет поддержки, требующий немедленного действия.

Генеративный ИИ ускорил подготовку: по данным CrowdStrike, вредоносное использование GenAI для социальной инженерии удвоилось в 2024 году. IBM X-Force отмечает, что генерация фишинговых писем с помощью GenAI быстрее в 11,4 раза при сопоставимом качестве. Подготовка вишинг-скриптов, адаптированных под конкретную организацию и роль жертвы, занимает минуты вместо часов.

Цель звонка - не пароль напрямую (хотя в ряде случаев атакующие собирали credentials и MFA-коды "для верификации"). Главная задача - убедить сотрудника авторизовать OAuth-приложение.

MITRE ATT&CK: Multi-Factor Authentication Request Generation (T1621, Credential Access) - атакующие запрашивали коды MFA под предлогом верификации. Cloud Accounts (T1078.004, Initial Access) - полученные credentials использовались для легитимизации доступа.

Ограничения техники: вишинг работает против организаций без чёткого процесса верификации входящих звонков от "IT-поддержки". Компании с out-of-band верификацией (callback на известный номер, подтверждение через корпоративный мессенджер) резко снижают success rate этого вектора. Звучит элементарно - но из 39 жертв ни одна этого не делала.

Фаза 2: подключение вредоносного OAuth-приложения​

После установления доверия оператор направлял жертву на страницу Connected Apps в Salesforce и просил ввести "код подключения". Этот код - регистрация вредоносного OAuth-приложения, модифицированной версии Salesforce Data Loader.

Одна кнопка consent - и атакующие получали OAuth refresh token с правами чтения и записи данных CRM. По данным Microsoft Threat Protection Blog, все последующие запросы данных выглядели как легитимные API-вызовы от авторизованного приложения. Стандартные средства мониторинга их не отличали от нормальной активности.

Дальше - кастомные Python-скрипты, эмулирующие операции DataLoader, для автоматизированного bulk-экспорта. Эксфильтрация начиналась во время или сразу после звонка - security-команды не успевали среагировать.

MITRE ATT&CK: Additional Cloud Roles (T1098.003, Persistence/Privilege Escalation) - OAuth refresh token давал persistent access без повторной аутентификации. Пока токен не отозван - атакующий внутри.

Фаза 3: эксфильтрация из CRM и латеральное перемещение в SharePoint​

С полученным OAuth-токеном атакующие выполняли SOQL-запросы для массовой выгрузки объектов: accounts, contacts, cases, opportunities. По данным TechTarget, украденные данные включали имена, email, телефоны, даты рождения, историю взаимодействий и данные программ лояльности, а у Qantas - номера паспортов.

Параллельно злоумышленники использовали собранные credentials (Okta, Azure AD) для lateral movement: доступ к Office 365 и SharePoint через Graph API, Slack-workspace'ам, файловым хранилищам OneDrive. SharePoint компрометация расширяла масштаб утечки - из CRM-записей в корпоративные документы.

Вся эксфильтрация шла через TOR. По данным Seqrite, выходные ноды располагались преимущественно в Нидерландах и Швейцарии (хостинг: Macarne, Private Layer INC). Атакующие смешивали TOR-трафик с легитимными OAuth-сессиями - стандартный приём для затруднения атрибуции.

MITRE ATT&CK: Customer Relationship Management Software (T1213.004, Collection), SharePoint (T1213.002, Collection), Data from Cloud Storage (T1530, Collection), Exfiltration to Cloud Storage (T1567.002, Exfiltration).

Фаза 4: вымогательство и публикация данных​

С украденными данными группа переходила к extortion. Двойное давление: контакт с жертвой (требование Bitcoin-выплаты в течение 72 часов) плюс угроза публикации на даркнет-площадке. В ряде случаев атакующие ложно заявляли о связи с другими известными группами для усиления давления.

Хронология кампании по данным TechTarget:
  • Апрель 2024 - сентябрь 2025: фишинговая кампания против клиентов Salesforce.
  • 3 октября 2025: запуск даркнет-сайта с перечислением 39 жертв.
  • 7-8 октября 2025: Salesforce публично отказывается от переговоров и выплат.
  • 10 октября 2025: истечение дедлайна.
  • 12-13 октября 2025: публикация данных шести жертв.
По данным IBM, организациям требуется в среднем 241 день для идентификации и сдерживания утечки. Полгода. За это время IT-команды вынуждены ограничивать доступ, внедрять дополнительную аутентификацию и урезать функции. Для компаний, зависящих от Salesforce (Baker Distributing - пример, где CRM критичен для операционной деятельности), такие ограничения напрямую тормозят revenue-generating процессы.

Вторая волна: supply chain компрометация через Salesloft Drift​

В августе 2025 года проявился второй вектор - UNC6395. Тут без вишинга. Атакующие скомпрометировали OAuth-токены через Salesloft Drift - AI-чатбот, интегрированный с Salesforce для автоматизации продаж.

Украденные токены позволили выполнять SOQL-запросы к Salesforce-базам сотен организаций. По данным Valence Security, атака затронула более 700 организаций с 8 по 18 августа 2025 года. Salesloft сообщила, что "основной целью атакующих была кража credentials - AWS access keys, паролей и токенов доступа к Snowflake" . К 20 августа все активные OAuth и refresh-токены Drift были отозваны в экстренном порядке.

Вот что тут важно понимать: даже при идеальной защите собственного Salesforce-инстанса вы уязвимы через цепочку поставок OAuth-интеграций. AI-инструменты вроде Salesloft Drift - особо ценная цель, потому что по дизайну требуют широкого persistent-доступа к production-данным. Они созданы, чтобы читать вашу CRM непрерывно. Скомпрометируй такой инструмент - и ты получаешь то же самое.

Атакующие массово запрашивали CRM-данные через публично доступные сайты, где guest-пользователи имели избыточные права. Ошибка конфигурации превращалась в воспроизводимый breach-вектор без аутентификации. Без credentials вообще.

Детектирование компрометации Salesforce и SharePoint в SOC​

1783860875890.webp

Требования к окружению​

Перед настройкой мониторинга проверьте:
  • Salesforce: Enterprise-лицензия с включённым Event Monitoring (Shield или платный аддон). API-доступ для аудита Connected Apps. Без Event Monitoring доступна только базовая Setup Audit Trail - для детекта OAuth-абьюза этого мало.
  • Microsoft 365: Microsoft Defender for Cloud Apps (MCAS) с подключённым коннектором Salesforce, либо Microsoft Sentinel с data connector. Лицензия: E5 Security или Defender for Cloud Apps standalone (~$3,50/user/month).
  • SIEM: KQL-запросы ниже - для Microsoft Sentinel. Для Splunk/Elastic потребуется адаптация логики под соответствующие схемы данных.
  • Доступ: Security Reader в Azure AD, администратор Salesforce для аудита Connected Apps и отзыва токенов.

Аудит OAuth-приложений в Salesforce​

Первое действие - ревизия Connected Apps. Перейдите в Setup -> Connected Apps OAuth Usage и ищите:
  1. Приложения с publisher "Unknown" или нестандартным именем ("My Ticket Portal", "Data Loader" от неизвестного издателя).
  2. Приложения, авторизованные в нерабочее время или с нетипичных IP.
  3. Приложения с правами read/write к объектам Account, Contact, Case, Opportunity.
  4. Необъяснимые пики API-вызовов в последние 90 дней.
Для автоматизации аудита через Salesforce API:
SQL:
SELECT Id, Name, CreatedDate, CreatedById, LastModifiedDate
FROM ConnectedApplication
WHERE CreatedDate = LAST_N_DAYS:90
ORDER BY CreatedDate DESC
Любое приложение, не согласованное с IT-отделом, требует немедленного расследования и отзыва токенов через Setup -> Connected Apps -> Revoke.

KQL-запросы для Microsoft Sentinel и Defender for Cloud Apps​

После подключения Salesforce в Defender (Settings -> Cloud Apps -> App connectors с включённым Event Monitoring - по документации Microsoft) становится доступен advanced hunting. Запрос для обнаружения аномальных bulk-операций:
Код:
CloudAppEvents
| where ActionType has_any ("DataExport", "QueryAll", "Query")
| where Application == "Salesforce"
| summarize TotalRecords = sum(tolong(RawEventData.rows_processed)),
            OpCount = count() by AccountDisplayName, IPAddress, bin(Timestamp, 1h)
| where TotalRecords > 10000 or OpCount > 50
| sort by TotalRecords desc
Пороги (10000 записей, 50 операций в час) - отправная точка. Калибруйте под вашу baseline-активность, иначе утонете в false positives или пропустите реальную выгрузку. Для SharePoint компрометации мониторьте массовые скачивания через OfficeActivity: операции FileDownloaded и FileSyncDownloadedFull с группировкой по UserId и ClientIP за часовые окна. Аномалия - более 100 файлов за час от одного аккаунта.

Для корреляции с TOR - сопоставляйте IP-адреса из алертов с ThreatIntelligenceIndicator в Sentinel или публичными списками TOR exit nodes. По данным Seqrite, атакующие использовали выходные ноды на ASN, связанных с Macarne (Нидерланды) и Private Layer INC (Швейцария).

DLP для SaaS-платформ: Salesforce предлагает нативный Data Loss Prevention через Shield; в Microsoft 365 используйте DLP-политики в Security & Compliance Center для детекта массовой выгрузки через SharePoint и OneDrive. Defender for Cloud Apps добавляет CASB-слой, агрегирующий алерты из обеих платформ в единый incident view.

Чеклист защиты корпоративных SaaS от extortion-атак​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Supply chain (блокирует вторую волну)
  1. Инвентаризируйте все сторонние интеграции с Salesforce и M365. Для каждой - оцените: какие данные доступны, какие scopes использует, как часто ротируются токены (NIST CSF ID.AM-01).
  2. Требуйте от ISV-партнёров (Salesloft, Gainsight и аналогичных) SOC 2 Type 2 отчёт. Включайте в контракт обязательство по немедленному уведомлению о компрометации.
  3. Реализуйте процедуру экстренного отзыва всех OAuth-токенов конкретной интеграции. Playbook должен позволять security-инженеру сделать bulk revoke за минуты, не за часы.
Incident response (реакция на Фазу 4)
  1. Подготовьте playbook для SaaS breach: кого уведомлять, как изолировать скомпрометированный tenant, какие регуляторные обязательства (GDPR, CCPA, 152-ФЗ) применимы (NIST CSF RC.CO-01).
  2. Проведите tabletop exercise с сценарием "вишинг + OAuth abuse в Salesforce" - именно этот attack path остаётся наиболее воспроизводимым для extortion-групп в 2025-2026 годах.
Последний год я наблюдаю одну и ту же картину: security-команды вкладывают миллионы в endpoint protection и network segmentation, а Salesforce-инстанс с пятью Legacy-интеграциями от 2019 года живёт с full API access, и OAuth consent разрешён любому пользователю. Кейс ShinyHunters - не продвинутая APT-операция. Тут нет эксплойтов, нет малвари, нет kernel-level persistence. Один телефонный звонок, одна кнопка consent и Python-скрипт на десять строк. Атака уровня "позвони и попроси" - и она скомпрометировала данные десятков компаний от Baker Distributing до TransUnion.

Пока корпоративная облачная безопасность трактуется как "настроили MFA и забыли" - вымогатели будут заходить через SaaS быстрее, чем SOC успеет открыть тикет. Рабочая защита начинается с трёх вещей: admin-only OAuth consent, аудит Connected Apps раз в квартал и CASB с настроенными порогами на bulk export. Всё остальное - прикладная косметика. Если в вашем стеке детекции нет правил под эту группу TTP - на codeby.net есть обсуждения, где разбираем адаптацию подобных detection rules под разные SIEM.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab