СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
24 мая
#ИБ

ShinyHunters атакуют SaaS через кражу учетных данных

В первом квартале 2026 года ShinyHunters стали одним из наиболее заметных субъектов угроз, сделав ставку не на традиционные ransomware-атаки, а на компрометацию учетных данных, кражу данных и вымогательство без применения вредоносных шифровальщиков. По данным отчета, именно такой подход особенно опасен для организаций с ограниченной видимостью в области безопасности — прежде всего в сферах identity management и SaaS.

Основной вектор атак: vishing и фишинг

Ключевым методом первоначального доступа у группы остаются атаки vishing. Злоумышленники имитируют сотрудников службы технической поддержки IT, чтобы выманить учетные данные у жертв. Для повышения убедительности они используют поддельные Caller ID и перенаправляют цели на фишинг-сайты, которые воспроизводят интерфейсы доверенных сервисов.

Такая тактика позволяет обходить корпоративные средства защиты, включая веб-прокси. По состоянию на сегодняшний день выявлено около 500 phishing domains, связанных с ShinyHunters, что значительно расширяет их потенциальный доступ к ценным бизнес-данным.

AiTM, MFA и захват корпоративных аккаунтов

Отдельную опасность представляют техники AiTM (adversary-in-the-middle), которые обеспечивают быстрый захват учетных данных. В результате атакующие получают возможность сбрасывать пароли и получать доступ к устройствам многофакторной аутентификации MFA.

После закрепления в инфраструктуре злоумышленники используют соединения SSO для продвижения к критически важным платформам, включая Salesforce и SharePoint. Дальше они извлекают конфиденциальную информацию через легитимные API либо посредством массовых загрузок данных.

Эксплуатация Salesforce и массовая компрометация учетных записей

В отчете отдельно отмечается, что ShinyHunters эксплуатировали неправильные настройки Salesforce Experience Cloud с помощью модифицированного инструмента AuraInspector. По имеющимся данным, это позволило им reportedly взломать сотни учетных записей без необходимости взаимодействия с пользователем.

Этот эпизод подчеркивает, что слабые конфигурации SaaS-сервисов становятся не менее опасными, чем классические уязвимости в периметре. Для атакующих достаточно получить начальный доступ к учетной записи или неверно настроенному компоненту, чтобы затем развить атаку вглубь среды.

Изменчивый ландшафт ransomware-угроз

Параллельно с активностью ShinyHunters в отчете фиксируется устойчивое присутствие таких групп, как Akira и Qilin. При этом новые акторы, включая хакерскую группировку The Gentlemen, демонстрируют стремительный рост активности. Это указывает на быстро меняющийся ландшафт, где традиционное отслеживание жертв становится менее информативным, чем мониторинг операционного поведения злоумышленников.

Особое внимание вызывают и 0APT, а также ALP-001 — сомнительные сайты утечек, которые якобы оказывают давление на компании за счет потенциально сфабрикованных заявлений. Такая практика показывает, что даже низкая репутация источника может создавать серьезные проблемы для защиты и реагирования.

Что рекомендуют защитникам

Авторы отчета подчеркивают: организациям необходимо адаптировать киберзащиту под новые модели атак, ориентированные на компрометацию идентификации, эксплуатацию внешних сервисов и lateral movement, обеспечиваемое административными протоколами.

В качестве приоритетных мер предлагаются:

  • внедрение надежных policies доступа для чувствительных приложений;
  • повышение осведомленности сотрудников о рисках vishing и фишинга через голосовую связь;
  • активный мониторинг SaaS logs на предмет необычной активности;
  • контроль за массовым доступом к API и крупными экспортами данных;
  • усиление проверки вымогательских требований в сжатые сроки.

В отчете отдельно подчеркивается, что наиболее эффективными станут проактивные меры, направленные не на личность злоумышленников, а на поведение, способствующее проникновению. Именно такой подход, по оценке авторов, способен повысить устойчивость организаций к текущему ландшафту угроз ransomware.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: