В октябре 2025 года extortion-группа ShinyHunters запустила даркнет-площадку с данными шести организаций - Albertsons, Fujifilm, Gap, Qantas, Engie Resources, Vietnam Airlines - и заявила о компрометации около миллиарда записей из Salesforce-инстансов 39 компаний. Среди пострадавших - Cisco, Disney, FedEx, Marriott, Baker Distributing. Salesforce публично отказалась платить выкуп.
Самое интересное тут - чем атакующие НЕ пользовались. Ни одного zero-day. Вся цепочка строилась на телефонных звонках и штатных механизмах OAuth. Позвонили, попросили, получили доступ. Всё.
Бизнес-логика атаки: почему extortion-группы нацелились на SaaS-платформы
Зачем ShinyHunters и связанным кластерам (UNC6040, UNC6240, UNC6395) именно корпоративные SaaS? Подробнее - в нашем статье о защита от ransomware.Рост атак на облачную инфраструктуру - не вендорская страшилка. По данным CrowdStrike Global Threat Report 2025, число облачных вторжений выросло на 26% за год. 75% инцидентов эксплуатировали действительные учётные данные - не уязвимости, не малварь, а легитимный доступ. IBM X-Force фиксирует ещё жёстче: +71% атак с использованием валидных credentials год к году. Verizon DBIR 2025 подтверждает - 38% утечек данных связаны с кражей учётных данных.
Salesforce хранит CRM-записи: имена клиентов, email, телефоны, историю сделок, тикеты поддержки. У авиакомпаний вроде Qantas - паспортные данные, истории занятости, данные программ лояльности. SharePoint - корпоративные документы, внутренние wiki, файловые хранилища. Для extortion-группы - идеальная цель по трём причинам.
Первая - клиентская база Salesforce конвертируется в целевой фишинг, перепродажу на даркнете и шантаж. Baker Distributing - дистрибьютор HVAC-оборудования, чей Salesforce содержит данные тысяч контрагентов. Утечка данных такого масштаба бьёт по всей цепочке поставок.
Вторая - blast radius. Компрометация одного OAuth-токена через стороннюю интеграцию открывает доступ к данным десятков и сотен tenant'ов. Случай с Salesloft Drift, по оценке Valence Security, затронул более 700 организаций за десять дней. Один токен - семьсот жертв.
Третья - слепая зона security-команд. Классический EDR и SIEM заточены под endpoint-телеметрию. Легитимный API-вызов от авторизованного OAuth-приложения не генерирует алертов в стандартной конфигурации. Утечка, о которой вы узнаёте из даркнет-поста, а не из собственного SIEM - кошмар для любого SOC.
Привязка к MITRE ATT&CK: kill chain укладывается в конкретные техники - Cloud Accounts (T1078.004, Initial Access), Customer Relationship Management Software (T1213.004, Collection), SharePoint (T1213.002, Collection), Data from Cloud Storage (T1530, Collection), Exfiltration to Cloud Storage (T1567.002, Exfiltration).
Kill chain ShinyHunters: четыре фазы компрометации Salesforce
Атака, задокументированная исследователями Seqrite, Microsoft Threat Protection и Valence Security, строилась по чёткому четырёхфазному сценарию.
Фаза 1: вишинг и социальная инженерия
Всё начиналось с телефонного звонка. Злоумышленники - через Mullvad VPN для маскировки исходящих - звонили сотрудникам целевых организаций, представляясь IT-поддержкой. Иногда - называясь сотрудниками Salesforce. Легенда: срочный тикет поддержки, требующий немедленного действия.Генеративный ИИ ускорил подготовку: по данным CrowdStrike, вредоносное использование GenAI для социальной инженерии удвоилось в 2024 году. IBM X-Force отмечает, что генерация фишинговых писем с помощью GenAI быстрее в 11,4 раза при сопоставимом качестве. Подготовка вишинг-скриптов, адаптированных под конкретную организацию и роль жертвы, занимает минуты вместо часов.
Цель звонка - не пароль напрямую (хотя в ряде случаев атакующие собирали credentials и MFA-коды "для верификации"). Главная задача - убедить сотрудника авторизовать OAuth-приложение.
MITRE ATT&CK: Multi-Factor Authentication Request Generation (T1621, Credential Access) - атакующие запрашивали коды MFA под предлогом верификации. Cloud Accounts (T1078.004, Initial Access) - полученные credentials использовались для легитимизации доступа.
Ограничения техники: вишинг работает против организаций без чёткого процесса верификации входящих звонков от "IT-поддержки". Компании с out-of-band верификацией (callback на известный номер, подтверждение через корпоративный мессенджер) резко снижают success rate этого вектора. Звучит элементарно - но из 39 жертв ни одна этого не делала.
Фаза 2: подключение вредоносного OAuth-приложения
После установления доверия оператор направлял жертву на страницу Connected Apps в Salesforce и просил ввести "код подключения". Этот код - регистрация вредоносного OAuth-приложения, модифицированной версии Salesforce Data Loader.Одна кнопка consent - и атакующие получали OAuth refresh token с правами чтения и записи данных CRM. По данным Microsoft Threat Protection Blog, все последующие запросы данных выглядели как легитимные API-вызовы от авторизованного приложения. Стандартные средства мониторинга их не отличали от нормальной активности.
Дальше - кастомные Python-скрипты, эмулирующие операции DataLoader, для автоматизированного bulk-экспорта. Эксфильтрация начиналась во время или сразу после звонка - security-команды не успевали среагировать.
MITRE ATT&CK: Additional Cloud Roles (T1098.003, Persistence/Privilege Escalation) - OAuth refresh token давал persistent access без повторной аутентификации. Пока токен не отозван - атакующий внутри.
Фаза 3: эксфильтрация из CRM и латеральное перемещение в SharePoint
С полученным OAuth-токеном атакующие выполняли SOQL-запросы для массовой выгрузки объектов: accounts, contacts, cases, opportunities. По данным TechTarget, украденные данные включали имена, email, телефоны, даты рождения, историю взаимодействий и данные программ лояльности, а у Qantas - номера паспортов.Параллельно злоумышленники использовали собранные credentials (Okta, Azure AD) для lateral movement: доступ к Office 365 и SharePoint через Graph API, Slack-workspace'ам, файловым хранилищам OneDrive. SharePoint компрометация расширяла масштаб утечки - из CRM-записей в корпоративные документы.
Вся эксфильтрация шла через TOR. По данным Seqrite, выходные ноды располагались преимущественно в Нидерландах и Швейцарии (хостинг: Macarne, Private Layer INC). Атакующие смешивали TOR-трафик с легитимными OAuth-сессиями - стандартный приём для затруднения атрибуции.
MITRE ATT&CK: Customer Relationship Management Software (T1213.004, Collection), SharePoint (T1213.002, Collection), Data from Cloud Storage (T1530, Collection), Exfiltration to Cloud Storage (T1567.002, Exfiltration).
Фаза 4: вымогательство и публикация данных
С украденными данными группа переходила к extortion. Двойное давление: контакт с жертвой (требование Bitcoin-выплаты в течение 72 часов) плюс угроза публикации на даркнет-площадке. В ряде случаев атакующие ложно заявляли о связи с другими известными группами для усиления давления.Хронология кампании по данным TechTarget:
- Апрель 2024 - сентябрь 2025: фишинговая кампания против клиентов Salesforce.
- 3 октября 2025: запуск даркнет-сайта с перечислением 39 жертв.
- 7-8 октября 2025: Salesforce публично отказывается от переговоров и выплат.
- 10 октября 2025: истечение дедлайна.
- 12-13 октября 2025: публикация данных шести жертв.
Вторая волна: supply chain компрометация через Salesloft Drift
В августе 2025 года проявился второй вектор - UNC6395. Тут без вишинга. Атакующие скомпрометировали OAuth-токены через Salesloft Drift - AI-чатбот, интегрированный с Salesforce для автоматизации продаж.Украденные токены позволили выполнять SOQL-запросы к Salesforce-базам сотен организаций. По данным Valence Security, атака затронула более 700 организаций с 8 по 18 августа 2025 года. Salesloft сообщила, что "основной целью атакующих была кража credentials - AWS access keys, паролей и токенов доступа к Snowflake" . К 20 августа все активные OAuth и refresh-токены Drift были отозваны в экстренном порядке.
Вот что тут важно понимать: даже при идеальной защите собственного Salesforce-инстанса вы уязвимы через цепочку поставок OAuth-интеграций. AI-инструменты вроде Salesloft Drift - особо ценная цель, потому что по дизайну требуют широкого persistent-доступа к production-данным. Они созданы, чтобы читать вашу CRM непрерывно. Скомпрометируй такой инструмент - и ты получаешь то же самое.
Атакующие массово запрашивали CRM-данные через публично доступные сайты, где guest-пользователи имели избыточные права. Ошибка конфигурации превращалась в воспроизводимый breach-вектор без аутентификации. Без credentials вообще.
Детектирование компрометации Salesforce и SharePoint в SOC
Требования к окружению
Перед настройкой мониторинга проверьте:- Salesforce: Enterprise-лицензия с включённым Event Monitoring (Shield или платный аддон). API-доступ для аудита Connected Apps. Без Event Monitoring доступна только базовая Setup Audit Trail - для детекта OAuth-абьюза этого мало.
- Microsoft 365: Microsoft Defender for Cloud Apps (MCAS) с подключённым коннектором Salesforce, либо Microsoft Sentinel с data connector. Лицензия: E5 Security или Defender for Cloud Apps standalone (~$3,50/user/month).
- SIEM: KQL-запросы ниже - для Microsoft Sentinel. Для Splunk/Elastic потребуется адаптация логики под соответствующие схемы данных.
- Доступ: Security Reader в Azure AD, администратор Salesforce для аудита Connected Apps и отзыва токенов.
Аудит OAuth-приложений в Salesforce
Первое действие - ревизия Connected Apps. Перейдите в Setup -> Connected Apps OAuth Usage и ищите:- Приложения с publisher "Unknown" или нестандартным именем ("My Ticket Portal", "Data Loader" от неизвестного издателя).
- Приложения, авторизованные в нерабочее время или с нетипичных IP.
- Приложения с правами
read/writeк объектам Account, Contact, Case, Opportunity. - Необъяснимые пики API-вызовов в последние 90 дней.
SQL:
SELECT Id, Name, CreatedDate, CreatedById, LastModifiedDate
FROM ConnectedApplication
WHERE CreatedDate = LAST_N_DAYS:90
ORDER BY CreatedDate DESC
Setup -> Connected Apps -> Revoke.KQL-запросы для Microsoft Sentinel и Defender for Cloud Apps
После подключения Salesforce в Defender (Settings -> Cloud Apps -> App connectors с включённым Event Monitoring - по документации Microsoft) становится доступен advanced hunting. Запрос для обнаружения аномальных bulk-операций:
Код:
CloudAppEvents
| where ActionType has_any ("DataExport", "QueryAll", "Query")
| where Application == "Salesforce"
| summarize TotalRecords = sum(tolong(RawEventData.rows_processed)),
OpCount = count() by AccountDisplayName, IPAddress, bin(Timestamp, 1h)
| where TotalRecords > 10000 or OpCount > 50
| sort by TotalRecords desc
FileDownloaded и FileSyncDownloadedFull с группировкой по UserId и ClientIP за часовые окна. Аномалия - более 100 файлов за час от одного аккаунта.Для корреляции с TOR - сопоставляйте IP-адреса из алертов с ThreatIntelligenceIndicator в Sentinel или публичными списками TOR exit nodes. По данным Seqrite, атакующие использовали выходные ноды на ASN, связанных с Macarne (Нидерланды) и Private Layer INC (Швейцария).
DLP для SaaS-платформ: Salesforce предлагает нативный Data Loss Prevention через Shield; в Microsoft 365 используйте DLP-политики в Security & Compliance Center для детекта массовой выгрузки через SharePoint и OneDrive. Defender for Cloud Apps добавляет CASB-слой, агрегирующий алерты из обеих платформ в единый incident view.
Чеклист защиты корпоративных SaaS от extortion-атак
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Supply chain (блокирует вторую волну)
- Инвентаризируйте все сторонние интеграции с Salesforce и M365. Для каждой - оцените: какие данные доступны, какие scopes использует, как часто ротируются токены (NIST CSF ID.AM-01).
- Требуйте от ISV-партнёров (Salesloft, Gainsight и аналогичных) SOC 2 Type 2 отчёт. Включайте в контракт обязательство по немедленному уведомлению о компрометации.
- Реализуйте процедуру экстренного отзыва всех OAuth-токенов конкретной интеграции. Playbook должен позволять security-инженеру сделать bulk revoke за минуты, не за часы.
- Подготовьте playbook для SaaS breach: кого уведомлять, как изолировать скомпрометированный tenant, какие регуляторные обязательства (GDPR, CCPA, 152-ФЗ) применимы (NIST CSF RC.CO-01).
- Проведите tabletop exercise с сценарием "вишинг + OAuth abuse в Salesforce" - именно этот attack path остаётся наиболее воспроизводимым для extortion-групп в 2025-2026 годах.
Пока корпоративная облачная безопасность трактуется как "настроили MFA и забыли" - вымогатели будут заходить через SaaS быстрее, чем SOC успеет открыть тикет. Рабочая защита начинается с трёх вещей: admin-only OAuth consent, аудит Connected Apps раз в квартал и CASB с настроенными порогами на bulk export. Всё остальное - прикладная косметика. Если в вашем стеке детекции нет правил под эту группу TTP - на codeby.net есть обсуждения, где разбираем адаптацию подобных detection rules под разные SIEM.
Последнее редактирование модератором: