Вишинг и OAuth: эксфильтрация данных из Salesforce через подключенные приложения

Серия инцидентов, зафиксированных в середине 2025 года, была направлена на арендаторов Salesforce в ряде крупных компаний из сектора технологий, розничной торговли, luxury-брендов, авиации и страхования. Атаки не эксплуатировали уязвимость инфраструктуры Salesforce — злоумышленники полагались на социальную инженерию и злоупотребление механизмом согласия OAuth для подключения вредоносных приложений.

Как происходили атаки

По доступным данным, операторы реализовывали следующую цепочку действий:

• целевые звонки сотрудникам (в основном в англоговорящих филиалах) — голосовой фишинг (vishing);
• самопрезентация как корпоративные ИТ‑специалисты с задачей «помочь устранить проблему»;
• инструкция перейти на страницу авторизации подключенных приложений Salesforce и ввести восьмизначный код для завершения шага «устранение неполадок»;
• в результате выдавался токен OAuth / подтверждалось согласие на предоставление прав вредоносному приложению;
• с полученными правами злоумышленники использовали подключенные приложения и API‑клиентов (Data Loader и другие интеграции) для массовой выгрузки и перечисления учетных записей через всплески API.

Атрибуция и мотивы

Атрибуция указывает на финансово мотивированный кластер, отслеживаемый Google как UNC6040 и связанный с названием ShinyHunters. Ранние сходства в технике (телефонная социальная инженерия, маскировка под службу поддержки, целевые запросы на авторизацию приложений и обход MFA через OAuth) заставили некоторых аналитиков предположить причастность Scattered Spider. Также отмечались пересечения активности с операциями в стиле Lapsus$ и объявлениями в Telegram.

Акторы рекламировали базы данных в Telegram и демонстрировали кошелек Monero, что указывает на коммерческую мотивацию — выкуп/монетизация похищенных данных.

Последствия для пострадавших

Злоумышленники заявляли о компрометации данных десятков организаций. По сообщениям жертв, в основном произошло раскрытие контактной информации клиентов и метаданных учетных записей. Большинство пострадавших организаций заявили, что пароли, номера платежных карт и особо конфиденциальные финансовые данные не были отфильтрованы.

Операционные подробности включают:

• злоупотребление полномочиями подключенных приложений для доступа на уровне API;
• использование интеграций (Data Loader и т.п.) для крупномасштабных загрузок;
• перечисление учетных записей посредством всплесков API, характерных для массового экспорта данных.

Рекомендации по защите

Эксперты и отчёты предлагают комплекс мер для снижения риска подобных атак:

• принцип наименьших привилегий для подключенных приложений и клиентов API — выдавать минимально необходимые права;
• внесение в белый список и строгая проверка всех интеграций OAuth перед предоставлением прав;
• ограничение диапазонов IP‑адресов для подключенных приложений и пользовательских входов;
• усиление политик MFA — в том числе меры против fatigue‑атак и обхода через согласие (consent);
• мониторинг аномальной активности API и массовых экспортов данных как индикаторов эксфильтрации;
• тренировки пользователей и сценарии испытаний на распознавание vishing‑атак и поддельных запросов поддержки.

Вывод

Эта серия инцидентов подчёркивает, что даже при отсутствии уязвимостей в облачной инфраструктуре атаки на человеческий фактор и механизмы OAuth остаются эффективными и опасными. Организациям необходимо сочетать технические контрмеры (ограничение прав, мониторинг API, настройка IP‑ограничений и MFA) с постоянной работой по повышению осведомлённости сотрудников о методах social engineering.

«Главная уязвимость в подобных кампаниях — человек, которому доверяют», — можно сформулировать ключевую лекцию из расследования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.