Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вишинг и OAuth: эксфильтрация данных из Salesforce через подключенные приложения

3 мин
Серия инцидентов, зафиксированных в середине 2025 года, была направлена на арендаторов Salesforce в ряде крупных компаний из сектора технологий, розничной торговли, luxury-брендов, авиации и страхования. Атаки не эксплуатировали уязвимость инфраструктуры Salesforce — злоумышленники полагались на социальную инженерию и злоупотребление механизмом согласия OAuth для подключения вредоносных приложений. По доступным данным, операторы реализовывали следующую цепочку действий: Атрибуция указывает на финансово мотивированный кластер, отслеживаемый Google как UNC6040 и связанный с названием ShinyHunters. Ранние сходства в технике (телефонная социальная инженерия, маскировка под службу поддержки, целевые запросы на авторизацию приложений и обход MFA через OAuth) заставили некоторых аналитиков предположить причастность Scattered Spider. Также отмечались пересечения активности с операциями в стиле Lapsus$ и объявлениями в Telegram. Акторы рекламировали базы данных в Telegram и демонстрировали коше
Оглавление

Серия инцидентов, зафиксированных в середине 2025 года, была направлена на арендаторов Salesforce в ряде крупных компаний из сектора технологий, розничной торговли, luxury-брендов, авиации и страхования. Атаки не эксплуатировали уязвимость инфраструктуры Salesforce — злоумышленники полагались на социальную инженерию и злоупотребление механизмом согласия OAuth для подключения вредоносных приложений.

Как происходили атаки

По доступным данным, операторы реализовывали следующую цепочку действий:

  • целевые звонки сотрудникам (в основном в англоговорящих филиалах) — голосовой фишинг (vishing);
  • самопрезентация как корпоративные ИТ‑специалисты с задачей «помочь устранить проблему»;
  • инструкция перейти на страницу авторизации подключенных приложений Salesforce и ввести восьмизначный код для завершения шага «устранение неполадок»;
  • в результате выдавался токен OAuth / подтверждалось согласие на предоставление прав вредоносному приложению;
  • с полученными правами злоумышленники использовали подключенные приложения и API‑клиентов (Data Loader и другие интеграции) для массовой выгрузки и перечисления учетных записей через всплески API.

Атрибуция и мотивы

Атрибуция указывает на финансово мотивированный кластер, отслеживаемый Google как UNC6040 и связанный с названием ShinyHunters. Ранние сходства в технике (телефонная социальная инженерия, маскировка под службу поддержки, целевые запросы на авторизацию приложений и обход MFA через OAuth) заставили некоторых аналитиков предположить причастность Scattered Spider. Также отмечались пересечения активности с операциями в стиле Lapsus$ и объявлениями в Telegram.

Акторы рекламировали базы данных в Telegram и демонстрировали кошелек Monero, что указывает на коммерческую мотивацию — выкуп/монетизация похищенных данных.

Последствия для пострадавших

Злоумышленники заявляли о компрометации данных десятков организаций. По сообщениям жертв, в основном произошло раскрытие контактной информации клиентов и метаданных учетных записей. Большинство пострадавших организаций заявили, что пароли, номера платежных карт и особо конфиденциальные финансовые данные не были отфильтрованы.

Операционные подробности включают:

  • злоупотребление полномочиями подключенных приложений для доступа на уровне API;
  • использование интеграций (Data Loader и т.п.) для крупномасштабных загрузок;
  • перечисление учетных записей посредством всплесков API, характерных для массового экспорта данных.

Рекомендации по защите

Эксперты и отчёты предлагают комплекс мер для снижения риска подобных атак:

  • принцип наименьших привилегий для подключенных приложений и клиентов API — выдавать минимально необходимые права;
  • внесение в белый список и строгая проверка всех интеграций OAuth перед предоставлением прав;
  • ограничение диапазонов IP‑адресов для подключенных приложений и пользовательских входов;
  • усиление политик MFA — в том числе меры против fatigue‑атак и обхода через согласие (consent);
  • мониторинг аномальной активности API и массовых экспортов данных как индикаторов эксфильтрации;
  • тренировки пользователей и сценарии испытаний на распознавание vishing‑атак и поддельных запросов поддержки.

Вывод

Эта серия инцидентов подчёркивает, что даже при отсутствии уязвимостей в облачной инфраструктуре атаки на человеческий фактор и механизмы OAuth остаются эффективными и опасными. Организациям необходимо сочетать технические контрмеры (ограничение прав, мониторинг API, настройка IP‑ограничений и MFA) с постоянной работой по повышению осведомлённости сотрудников о методах social engineering.

«Главная уязвимость в подобных кампаниях — человек, которому доверяют», — можно сформулировать ключевую лекцию из расследования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вишинг и OAuth: эксфильтрация данных из Salesforce через подключенные приложения".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются