Очередной заголовок «утечка данных миллионов пользователей» - а за ним всё та же группировка. И каждый раз русскоязычные источники пересказывают пресс-релизы: «произошла утечка, данные скомпрометированы, ведётся расследование». Без kill chain, без маппинга на MITRE ATT&CK, без конкретных детектов для вашего SIEM. Скучно.
Эта статья - для тех, кто хочет разобраться в механике: как именно ShinyHunters компрометируют Salesforce через OAuth-злоупотребления, почему вишинг (телефонное мошенничество) стал их основным вектором начального доступа, и что конкретно проверить в вашей инфраструктуре прямо сейчас.
Кто такие ShinyHunters: от покемонов к вымогательству без шифрования
Название - отсылка к «Shiny Pokémon»: игроки, которые целенаправленно собирают редких покемонов с альтернативной расцветкой, называются shiny hunters. В киберпреступном контексте «охота» направлена на другую добычу - персональные данные, корпоративные секреты и OAuth-токены.ShinyHunters впервые засветились на радарах threat intelligence в 2020 году. Их модель монетизации принципиально отличается от классического ransomware: группировка не шифрует данные. Вместо этого - схема «заплати или опубликуем», чистая экфильтрация с последующим шантажом жертв. Отказалась компания платить - украденные базы выставляются на продажу или сливаются бесплатно на BreachForums.
По данным Wikipedia, группировка связана с кластерами UNC6040 и UNC6240, которые идентифицировала Google Threat Intelligence Group. Параллельно - устойчивая связь с Scattered Spider и более широким сообществом The Com, сетью англоязычных подгрупп, промышляющих SIM-свопингом, криптовалютным мошенничеством и вымогательством.
Среди осуждённых участников ShinyHunters - Себастьен Рауль (Sébastien Raoult), французский гражданин, приговорённый в январе 2024 года к 3 годам (36 месяцам) заключения в США с возмещением ущерба более $5 млн. Criminal Division Chief Sarah Vogel из прокуратуры Western District of Washington в материалах дела сформулировала ёмко: «Мотивом мистера Рауля была чистая жадность. Он продавал украденные данные, крал криптовалюту и даже продавал свои хакерские инструменты». В июне 2025 года французские власти арестовали ещё четверых предполагаемых администраторов BreachForums, связанных с ShinyHunters. Операции группировки от этого не прекратились.
Эволюция тактик ShinyHunters: хронология ключевых атак
Паттерн атак ShinyHunters без хронологии не понять. Группировка эволюционировала от примитивного credential stuffing к сложным цепочкам с OAuth-злоупотреблениями и supply chain-компрометацией.2020–2023: эпоха массовых сливов баз данных
Первый этап - классическая кража больших пользовательских баз с последующей продажей на подпольных форумах. По данным Have I Been Pwned, масштабы утечек ShinyHunters этого периода говорят сами за себя:| Жертва | Дата | Скомпрометировано записей | Типы данных |
|---|---|---|---|
| Tokopedia | Апрель 2020 | ~91 млн | Email, имена, пароли, даты рождения |
| Wattpad | Июнь 2020 | 268,8 млн | Email, имена, био, гео, пол |
| Mathway | Январь 2020 | ~25,8 млн | Email, имена, пароли, устройства (атрибуция ShinyHunters не подтверждена однозначно) |
| BigBasket | Октябрь 2020 | 24,5 млн | Email, имена, IP, пароли |
| Nitro PDF | Сентябрь 2020 | 77,2 млн | Email, имена, пароли |
Тактики на этом этапе были относительно простые: эксплуатация незащищённых GitHub-репозиториев, открытых облачных пакетов, credential stuffing и фишинг. По данным DarkOwl, группировка систематически прочёсывала публичные GitHub-репозитории компаний-жертв в поисках захардкоженных credentials и API-ключей. Банально, но работало.
2024: переходный период - Snowflake и Ticketmaster
В мае-июне 2024 года ShinyHunters выставили на продажу данные Ticketmaster (заявлены 500–560 млн пользователей) и Santander (30 млн клиентов). Обе утечки были связаны с кампанией против облачной платформы Snowflake. По данным Wired (2024), AT&T предположительно заплатила ~$370 000 через посредника за удаление данных 110 млн клиентов - официально компания факт оплаты не подтверждала.В этот период на BreachForums всплыл аккаунт «Sp1d3rHunters» - гибридный псевдоним, скрестивший названия ShinyHunters и Scattered Spider. По данным ReliaQuest, аккаунт создали в мае 2024, а через два месяца он выложил данные, связанные с утечкой Ticketmaster, ранее рекламировавшейся ShinyHunters.
2025–2026: Salesforce-кампания и вишинг в промышленных масштабах
Текущий этап - радикальная смена тактик. Вместо эксплуатации технических уязвимостей группировка перешла к атакам на человеческий фактор через вишинг (Spearphishing Voice, T1566.004, Initial Access) с последующим злоупотреблением OAuth-механизмами Salesforce. По данным Google Threat Intelligence, кампания затронула более 100 организаций: Google, Adidas, LVMH (Louis Vuitton, Dior, Tiffany & Co.), Pandora, Qantas, Air France-KLM, Allianz Life, Cisco. Список серьёзный.Анатомия Salesforce-кампании: kill chain по шагам
Кампания 2025–2026 годов - самая технически интересная операция ShinyHunters. Разберём kill chain по этапам, как его реконструировали Google Threat Intelligence и ReliaQuest.Фаза 1: вишинг как начальный доступ
Атакующие звонят сотрудникам целевых организаций, представляясь IT-поддержкой или helpdesk. Легенда: «необходимо обновить настройки MFA» или «устранить проблему с SSO». Звонок создаёт ощущение срочности - жертва не успевает верифицировать звонящего.Это маппится на Spearphishing Voice (T1566.004, Initial Access) - целевой голосовой фишинг. Для reconnaissance-фазы (сбор информации до атаки) в MITRE ATT&CK есть отдельная под-техника T1598.004 (Phishing for Information: Spearphishing Voice). Отличие от массового фишинга: атакующие знают имя сотрудника, отдел, используемые системы. По данным SecureWorld, даже опытные пользователи поддаются давлению, когда звонок якобы поступает от HR или IT. Я видел, как человек с 15-летним стажем в ИБ одобрил MFA-пуш «от IT-отдела» - потому что торопился на совещание.
Фаза 2: OAuth-злоупотребление и «Data Loader»
Во время звонка жертву направляют на поддельную страницу логина SSO (Okta, Microsoft Entra, Google). Параллельно атакующие используют real-time phishing kit для перехвата credentials и session token. Дальше жертву просят одобрить подключение «connected app» в Salesforce - модифицированной версии легитимного инструмента Salesforce Data Loader.Это Steal Application Access Token (T1528, Credential Access) - кража OAuth-токена, который даёт доступ к данным Salesforce без повторной аутентификации. В MITRE ATT&CK техника T1528 описана независимо от платформы, а тесты Atomic Red Team для неё доступны только для Azure - здесь применение техники к SaaS-платформе. По данным Google Threat Intelligence (отчёт по UNC6040), модифицированный Data Loader позволяет массово экспортировать объекты Salesforce: контакты, лиды, кейсы, кастомные объекты с PII.
Для обхода MFA используется Multi-Factor Authentication Request Generation (T1621, Credential Access) - MFA-бомбинг: жертву заваливают push-уведомлениями, пока она не нажмёт «Approve». Тупо, но работает чаще, чем хотелось бы.
Фаза 3: латеральное перемещение через SaaS
Получив доступ к SSO-среде, атакующие не останавливаются на Salesforce. Они перемещаются в другие SaaS-приложения - Slack, Google Drive, AppsFlyer - используя Valid Accounts (T1078, Initial Access / Lateral Movement). Облачные консоли и API становятся каналами латерального перемещения через Remote Services (T1021, Lateral Movement).
Для сокрытия трафика экфильтрации используется Mullvad VPN - легитимный VPN-сервис, затрудняющий атрибуцию по IP. Попробуй заблокируй, половина разработчиков тоже через него сидит.
Фаза 4: массовая экфильтрация
Экспорт данных выполняется через Automated Collection (T1119, Collection) и Exfiltration to Cloud Storage (T1567.002, Exfiltration). Объём украденных данных измеряется сотнями гигабайт: в инциденте с Еврокомиссией ShinyHunters заявили о 350 ГБ, в кейсе Cisco - более 3 млн записей из Salesforce CRM плюс данные из AWS и GitHub.Фаза 5: шантаж жертв без шифрования
Финальная фаза - extortion without encryption. Группировка связывается с жертвой напрямую (email или через корпоративные каналы), демонстрирует доказательства доступа - скриншоты консолей, фрагменты данных - и выставляет ультиматум. В октябре 2025 года публичный leak-сайт ShinyHunters перечислял данные 39 компаний, связанных с Salesforce-волной.Не заплатил - данные публикуются или продаются. AT&T предположительно заплатила ~$370 000 за предотвращение публикации данных 110 млн клиентов (официально не подтверждено). PowerSchool заплатила $2,85 млн - но позже вымогательство возобновилось уже против отдельных школьных округов, клиентов PowerSchool. Заплатил один раз - не значит, что отстанут.
MITRE ATT&CK: полный маппинг TTP ShinyHunters группировки
На основе верифицированных данных MITRE ATT&CK и отчётов ValiCyber, Google Threat Intelligence и ReliaQuest, полный набор тактик и техник ShinyHunters:| Тактика | Техника | ID | Контекст применения ShinyHunters |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | Эксплуатация мисконфигураций Salesforce Experience Cloud |
| Initial Access | Spearphishing Voice | T1566.004 | Вишинг-звонки под видом IT-поддержки |
| Initial Access | Valid Accounts | T1078 | Украденные credentials сотрудников |
| Initial Access | Cloud Accounts | T1078.004 | Компрометация AWS, Salesforce, Okta аккаунтов |
| Initial Access | Trusted Relationship | T1199 | Компрометация через цепочку поставок (кампания Salesloft Drift, август 2025, атрибутируется GTIG кластеру UNC6395; связь с ShinyHunters - через последующее использование данных, прямая операционная атрибуция не подтверждена) |
| Execution | Command and Scripting Interpreter | T1059 | Скрипты для автоматизации экспорта данных |
| Persistence | Account Manipulation | T1098 | Создание backdoor-аккаунтов |
| Persistence | Additional Cloud Credentials | T1098.001 | Добавление OAuth-токенов в облачные приложения |
| Defense Evasion | Disable or Modify Tools | T1562.001 | Отключение логирования и мониторинга |
| Defense Evasion | Indicator Removal | T1070 | Очистка логов и следов в облачных и локальных средах |
| Credential Access | Steal Application Access Token | T1528 | Кража OAuth-токенов Salesforce |
| Credential Access | MFA Request Generation | T1621 | MFA-бомбинг для обхода второго фактора |
| Lateral Movement | Remote Services | T1021 | Перемещение через облачные консоли и API |
| Collection | Automated Collection | T1119 | Массовый экспорт объектов Salesforce |
| Exfiltration | Exfiltration to Cloud Storage | T1567.002 | Выгрузка данных через облачные сервисы |
| Impact | Data Encrypted for Impact | T1486 | shinysp1d3r ransomware (ESXi, VMDK) |
Последняя строка заслуживает отдельного внимания. По данным ValiCyber, в конце 2025 года была идентифицирована новая программа-вымогатель shinysp1d3r, связанная с ShinyHunters. Она нацелена на VMware ESXi: перечисляет виртуальные машины, отключает снэпшоты и шифрует VMDK-файлы. Группировка, которая годами обходилась без шифрования, теперь перешла к гибридной модели - экфильтрация плюс ransomware. Эволюция, однако.
ShinyHunters и Scattered Spider: доказательства слияния
Вопрос связи ShinyHunters и Scattered Spider - один из ключевых для threat intelligence в 2025 году. По данным ReliaQuest, косвенных доказательств сознательного партнёрства хватает.Признаки конвергенции:
Заимствование тактик. ShinyHunters до 2024 года не использовали вишинг - это «визитная карточка» Scattered Spider. В Salesforce-кампании 2025 года вишинг стал основным вектором. Появились Okta-тематические фишинговые страницы, VPN-обфускация через Mullvad - всё характерные приёмы Scattered Spider.
Аккаунт Sp1d3rHunters. На BreachForums в мае 2024 появился аккаунт с говорящим именем - комбинацией имён обеих группировок. По данным DataBreaches.net, источник в Telegram, использующий этот псевдоним, заявил: «Мы одно и то же. Мы всегда были одним и тем же».
Синхронные кампании. По данным ReliaQuest, в 2025 году обе группировки атаковали одни и те же секторы в совпадающие временные окна: розничная торговля (апрель–май), страхование (июнь–июль), авиация (июнь–август). Раньше ShinyHunters работали спорадически, фокусируясь на одной цели за раз.
Общая инфраструктура. Анализ доменных регистраций от ReliaQuest выявил пересекающиеся паттерны: тематика тикетов и Salesforce в фишинговых доменах, общие характеристики регистрации, последовательные регистрации доменов, имитирующих финансовые сервисы и технологические компании.
Для практиков это значит одно: детекты, написанные под Scattered Spider TTP, с высокой вероятностью сработают и против ShinyHunters. И наоборот. Фокусируйтесь на техниках, а не на атрибуции.
Salesforce data breach: что проверить в вашей среде прямо сейчас
Если ваша организация использует Salesforce - ниже конкретные проверки, основанные на паттерне атак ShinyHunters.Аудит Connected Apps в Salesforce
Основной вектор Salesforce компрометации - злоупотребление OAuth Connected Apps. Проверьте список подключённых приложений: в Lightning Experience -Setup → Quick Find: «Connected Apps OAuth Usage» (аудит использования) или Setup → Quick Find: «App Manager» (управление); в Classic - Setup → Manage Apps → Connected Apps. Ищите:- Приложения с широкими OAuth-скоупами (
full,api,refresh_token), созданные в нехарактерное время - Приложения, маскирующиеся под легитимные инструменты (Data Loader, Dataloader.io)
- Приложения с Callback URL, указывающими на нестандартные домены
SOQL-запрос для выявления подозрительных экспортов
SQL:
SELECT CreatedDate, CreatedById, Action, Display, Section
FROM SetupAuditTrail
WHERE Action LIKE '%export%' OR Action LIKE '%dataLoader%'
ORDER BY CreatedDate DESC
LIMIT 200Правило детекции для SIEM: аномальный вишинг-паттерн
Вишинг сложно детектировать техническими средствами - это социальная инженерия. Но последствия - вполне. Следите за корреляцией событий:
Код:
# Pseudo-rule для SIEM (Splunk/Elastic формат - адаптируйте под вашу платформу)
# Событие 1: MFA reset или добавление нового MFA-устройства
# Событие 2: Новый OAuth token grant в Salesforce (в течение 30 минут)
# Событие 3: Bulk API export >10000 записей (в течение 2 часов)
# При совпадении всех трёх - alert severity: critical
Логика простая: если сотруднику «помогли» сбросить MFA по телефону, через 30 минут появился новый connected app, а через два часа начался массовый экспорт - это классический паттерн атаки ShinyHunters. Если такое прилетит в ваш SOC - не ждите утра, эскалируйте сразу.
Рекомендации D3FEND
На основе MITRE D3FEND, защитные меры против тактик ShinyHunters:- User Geolocation Logon Pattern Analysis (D3-UGLPA) - детекция аномальных логинов по геолокации, актуальна против T1190 и T1566.004
- Access Modeling (D3-AM) - моделирование нормального паттерна доступа аккаунтов, актуальна против T1078 и T1078.004
- Account Locking (D3-AL) - автоматическая блокировка аккаунтов при подозрительной активности
- Identifier Activity Analysis (D3-IAA) - анализ активности идентификаторов для обнаружения компрометации
Монетизация: как ShinyHunters продают утечки корпоративных данных
Модель монетизации ShinyHunters прошла путь от прямых продаж к многоуровневому вымогательству.Ранняя модель (2020–2023). Прямая продажа баз на BreachForums и RaidForums. Данные AT&T (утечка 2021 года, ~70 млн записей) продавались за $200 000. Позже, в 2024 году, эти данные были выложены бесплатно - классическая тактика обесценивания для давления на следующих жертв. Мол, смотрите - не заплатили, и вот результат.
Текущая модель (2024–2026). Многоэтапное вымогательство:
- Приватное уведомление жертвы с доказательствами компрометации
- Установка дедлайна для оплаты (обычно 3–7 дней)
- При отказе - публикация на leak-сайте или продажа через BreachForums
- Повторное вымогательство клиентов жертвы (как в кейсе PowerSchool → школьные округа)
Инфраструктурные индикаторы: на что обратить внимание
По данным ReliaQuest, анализ доменной инфраструктуры ShinyHunters выявил характерные паттерны:Тематика доменов. Фишинговые домены имитируют Salesforce login-порталы и тикетные системы. Формат:
sso-companyname-internal[.]com, companyname-okta[.]com, companyname-salesforce[.]com.Регистрация. Домены регистрируются незадолго до атаки - обычно за 1–7 дней. Характерны общие регистрационные данные и использование privacy-protect сервисов.
Индикаторы сдвига таргетирования. ReliaQuest зафиксировали регистрацию доменов, маскирующихся под финансовые компании технологических провайдеров - сигнал о следующих целях. Мониторинг свежих доменов с именем вашей организации через DomainTools или URLScan - обязательная мера. Если этого ещё нет - ставьте в бэклог на эту неделю.
Практические ограничения и контекст
Несколько оговорок для корректного понимания угрозы:Атрибуция не абсолютна. Множественные алиасы (ShinyHunters, ShinyCorp, UNC6040, UNC6240, Scattered LAPSUS$ Hunters) и пересечение с Scattered Spider затрудняют однозначную атрибуцию конкретных инцидентов. В кейсе PowerSchool лидер ShinyHunters заявил Bleeping Computer, что вымогатель, представлявшийся ShinyHunters, был «аффилиатом-самозванцем». Верить на слово - так себе идея, но учитывать стоит.
Salesforce-вектор актуален для конкретных конфигураций. OAuth-злоупотребление работает против организаций, где: (a) Connected Apps не ограничены через IP Relaxation и Allowed IP Ranges, (b) отсутствует мониторинг SetupAuditTrail и EventLogFile, (c) сотрудники не обучены верифицировать IT-звонки через обратный вызов на внутренний номер. Если у вас все три пункта закрыты - вы в значительно лучшей позиции, чем 90% целей.
Вишинг масштабируется. По данным SecureWorld, ShinyHunters начали использовать AI-enabled vishing - синтез голоса для повышения убедительности звонков. Традиционные тренинги по security awareness от этого становятся менее эффективными: сотрудник может «узнать голос» коллеги из IT. Единственный надёжный контрмер - верификация через обратный звонок на заведомо известный номер.
Для security-инженеров, работающих с Salesforce и SaaS-платформами, понимание тактик атакующих критически важно для построения защиты - курсы Codeby по offensive security дают именно этот фундамент.
Вопрос к читателям
Кампания ShinyHunters строится на OAuth Connected Apps в Salesforce. В корпоративных средах, которые я анализировал, количество подключённых приложений с OAuth-скоупомfull или api варьировалось от 15 до 80+, и большинство администраторов не могли объяснить назначение половины из них.Кто из вас проводил аудит Connected Apps в своём Salesforce-инстансе через
Setup → Quick Find: «Connected Apps OAuth Usage»? Какое соотношение легитимных приложений к «мёртвым» или неизвестным вы обнаружили? Интересен конкретный процент и ваш подход к ревокации: блокируете сразу или выдерживаете карантин с мониторингом EventLogFile?
Последнее редактирование модератором:
