Защита данных
InfoWatch Центр расследований События DLP. Персоны. Файлы. Доступ. Устройства. Риски. Аналитика
InfoWatch Data Discovery Аудит хранения данных
InfoWatch Data Access Tracker Аудит учётных записей и изменений в службе каталогов
InfoWatch Traffic Monitor DLP: защита данных от утечек
InfoWatch Vision Визуальная аналитика и граф связей
Мониторинг действий сотрудников Для расследований инцидентов ИБ
InfoWatch Prediction UBA: предиктивная аналитика
Защита сетевой инфраструктуры
InfoWatch ARMA Стена (NGFW) Межсетевой экран нового поколения
InfoWatch ARMA Industrial Firewall Защита АСУ ТП на сетевом уровне и соответствие требованиям ФСТЭК
InfoWatch ARMA Management Console Единый центр управления системой защиты InfoWatch ARMA
InfoWatch ARMA Industrial Endpoint Средство защиты информации рабочих станций и серверов SCADA
Помочь с выбором? Расскажем, какие задачи решают конкретные продукты и что подойдет именно вам.
Связаться с нами
Бизнес-задачи
Защита конфиденциальной информации
Управление рисками информационной безопасности
Соответствие требованиям регуляторов
Кибербезопасность АСУ ТП
Инцидент ИБ и расследования с помощью мониторинга активности
Отраслевые решения
Государственные органы
Промышленность
Финансовый сектор
Энергетика
Оборонно-промышленный комплекс
Медицина и фармацевтика
Ритейл
Телекоммуникации
Помочь с выбором? Расскажем, какие задачи решают конкретные продукты и что подойдет именно вам.
Связаться с нами
Техническая поддержка
Консалтинг
Программа поддержки
Утечки информации
Новости ИБ
Аналитические отчеты
Дайджесты и обзоры
О компании
Контакты
Пресс-центр
Партнеры
Карьера
Линия доверия
Патенты
Акционерам
Вебинары
Мероприятия
Блог Натальи Касперской
FAQ
RU EN AE
Заказать демо
+7 495 22-900-22 +7 499 37-251-74
Заказать демо
InfoWatch Аналитика Дайджесты и обзоры Взломы облаков: почему важна динамическая кибербезопасность
Аналитика информационной безопасности
Экспертно-аналитический центр InfoWatch более десяти лет собирает и анализирует данные в сфере информационной безопасности, публикует аналитические отчёты, дайджесты и новости.
Основное внимание — утечкам персональных данных, безопасности цифровой экономики, защите автоматизированных систем управления.
03 сентября 2025

Взломы облаков: почему важна динамическая кибербезопасность

Перед кибербезопасностью компаний встают новые угрозы. В этом материале мы покажем, как динамическая кибербезопасность помогает купировать методы хакеров — на примере последних атак со стороны группировки ShinyHunters.

Хакеры из ShinyHunters уже порядка пяти лет печально известны взломами компаний, похищением учетных данных и различных баз данных. Недавно эта группировка резко сменила тактику и начала атаковать корпоративных пользователей Salesforce и других облачных платформ (SaaS).

В последнее время участники ShinyHunters перешли на взломы, в основе которых лежат агрессивные методы социальной инженерии, копирующие приемы группировки Scattered Spider. Вместо эксплуатации уязвимостей в корпоративном ПО злоумышленники эксплуатируют доверие людей, атакуя клиентов Saas-платформ, выдавая себя за других и активно используют фишинг.

В середине 2025 г. волна атак обрушилась на такие компании, как Google, Workday, Pandora, Cisco, Chanel и ряд других. Все эти инциденты объединяло то, что хакеры из ShinyHunters получали доступ к Salesforce CRM или аналогичным облачным системам, которые использовали взломанные компании.

Ниже мы рассмотрим, что произошло при взломе Google и Workday, изучим методы, использованные ShinyHunters, и покажем, как динамический подход к безопасности SaaS мог сломать методы хакеров и предотвратить взломы.

Что произошло при взломе Google и Workday?

В начале августа компания Google сообщила, что в начале лета злоумышленники взломали одну из ее CRM-систем на базе Salesforce. Тогда же, летом, различные крупные бренды, включая авиакомпании, модные дома и магазины класса люкс, стали сообщать о подобных инцидентах, связанных с несанкционированным доступом к данных, хранящихся в их системах на платформе Salesforce.

Затем компания Workday, ведущий SaaS-провайдер услуг по управлению персоналом и финансами, подтвердила, что также стала жертвой атаки с использованием социальной инженерии на CRM-платформу. В начале августа компания Workday обнаружила, что киберпреступники получили доступ к базе данных службы поддержки клиентов и украли контактную информацию компании (имена, адреса электронной почты, номера телефонов). К счастью, конфиденциальные данные отдела кадров или внутренние системы клиентов не пострадали.

Расследование, проведенное Workday, показало, что взлом произошел в результате использования методов социальной инженерии: злоумышленники по телефону обманули сотрудника компании, убедив его, что они являются менеджерами отдела кадров, и получили доступ к системе.

Компанию Google обманули по схожей схеме: преступники, связанные с группировкой ShinyHunters, использовали головой фишинг (вишинг) и мошеннический доступ по стандарту OAuth для проникновения в корпоративную среду на платформе Salesforce. 

Таким образом, ShinyHunters напрямую не взламывала инфраструктуру Salesforce, но обманным путем вынуждали людей предоставить доступ в системы, что привело к многочисленным громким утечкам данных в различных отраслях.

Метод 1 — голосовой фишинг и маскировка

Вишинг — основное оружие ShinyHunters. Звоня сотрудникам компаний от имени служб поддержки, они эксплуатируют доверие пользователей, чтобы получить учетные данные или заставить их выполнить рискованные действия.

В случае с Google злоумышленники смогли убедить службу ИТ-поддержки сбросить им пароль к Salesforce и обошли стандартные проверки безопасности. В других случаях они обзванивали сотрудников, пуская в ход обаяние и проявляя настойчивость, чтобы заставить одного из них «опустить разводной мост».

Участники ShinyHunters разоткровенничались после ряда успешных атак. Хакеры рассказали, что для сокрытия своих личностей использовали голоса, сгенерированные искусственным интеллектом. Маскировка максимально затрудняла отслеживание злоумышленников. Такой подход ориентирован на самое слабое звено корпоративной безопасности — людей, и он показывает эффективность. Киберпреступникам не надо создавать вредоносные программы, готовить эксплойты нулевого дня. Достаточно убедительной легенды, красивой лжи, настойчивости и, возможно, небольшой предварительной разведки, чтобы определить, на кого из потенциальных жертв лучше нацеливать атаки.

Как выявлять угрозы, связанные с идентификацией, и реагировать на них

Хотя сегодня ни одна технология не позволяет исключить угрозы, связанные с человеческим фактором, ряд современных платформ безопасности, ориентированных на безопасность доступа и идентификации (например, Reco), добавляют уровни защиты даже в тех случаях, когда сотрудника пытаются обмануть. Функции обнаружения и реагирования на угрозы, связанные с идентификацией (ITDR), отслеживают аномальные действия персонала, связанные с идентификацией, например, неожиданный сброс пароля, внезапную смену роли доступа или вход в Salesforce с нового устройства после подозрительного телефонного звонка.

Подобные платформы позволяют вести контекстно-ориентированный мониторинг: даже если злоумышленник обманным путем заставит сотрудника сбросить учетные данные, система мгновенно обнаружит это действие или выявит вход в систему, не соответствующий установленным политикам, отметив все это как высокорисковые действия. Службы безопасности получают оперативные оповещения о компрометации учетных записей, и службы безопасности могут успеть вмешаться до того, как злоумышленник сможет что-то предпринять.

Метод 2 — установка вредоносного приложения OAuth

Обманув того или иного сотрудника, участники ShinyHunters переходят к следующему этапу атаки, незаметно внедряя вредоносное приложение OAuth в среду Salesforce компании-жертвы.

Киберпреступники часто распространяют троянскую программу под видом легитимного загрузчика данных Salesforce. Установив его, сотрудник предоставляет злоумышленникам доступ, оно рассматривается как подключенное приложение с разрешениями API внутри организационной структуры Salesforce компании.

Жертва может загрузить то, что она считает официальным инструментом интеграции или поддержки Salesforce, войти в него и, не осознавая опасности, авторизовать приложение злоумышленников на чтение данных. Получив такую возможность, злоумышленники могут использовать API Salesforce для запроса и загрузки огромных объёмов данных, что они и сделали летом 2025 г. во многих случаях.

Как обнаружить вредоносные приложения в среде SaaS

Ключом к решению проблемы является строгий контроль доступа сторонних приложений. Используя специальную платформу управления доступом класса ITDR (Identity Threat Detection and Response), службы безопасности получают полное представление о действиях в среде Salesforce, включая действующие интеграции и связанные приложения. В платформу безопасности поступает вся информация: кто авторизовал то или иное приложение и к каким данным оно могло получить доступ.

Платформа безопасности идентифицирует внешние приложения или партнеров, имеющих доступ, и помечает те, которые являются подозрительными или не одобренными. Это означает, что в момент, когда сотрудник пытается авторизовать новое приложение, средства управления платформой могут потребовать одобрения со стороны администратора или, по крайней мере, уведомить службу безопасности о подозрительных событиях.

Столь бдительное управление Saas-приложениями могло бы остановить ShinyHunters. Мошенническому предложению не разрешили бы подключиться к корпоративной среде Salesforce или оно было бы обнаружено еще до того, как злоумышленники смогли извлечь какие-либо данные.

Источник: The Hacker News

Аналитика ИБ – это новые исследования каждый месяц
В отчётах есть данные, тенденции, выводы, которые необходимы в работе
Все дайджесты и обзоры

Похожие материалы

Аналитические отчеты
смотреть
Внутренние нарушители: отчет об утечках данных за несколько лет
19.11.2025
Дайджесты и обзоры
смотреть
Рост кибератак на интернет вещей охватывает новые отрасли
24.11.2025
Утечки информации
смотреть
Asahi оценила количество пострадавших от утечки данных
04.12.2025