- 19,463
- 40
- 8 Ноя 2022
IT-специалисты — фальшивые, многомиллионные убытки — реальные.
Злоумышленники, действующие под именем Для просмотра ссылки Войдиили Зарегистрируйся , организовали Для просмотра ссылки Войди или Зарегистрируйся на крупные компании, включая Qantas, Allianz Life, LVMH и Adidas. Все инциденты связаны с попытками проникновения в клиентские системы Для просмотра ссылки Войди или Зарегистрируйся через методы социальной инженерии, в первую очередь — голосовой фишинг ( Для просмотра ссылки Войди или Зарегистрируйся ).
Для просмотра ссылки Войдиили Зарегистрируйся Google Threat Intelligence Group (GTIG), киберпреступники, идентифицированные как UNC6040, выдавали себя за специалистов IT-поддержки. Они звонили сотрудникам и убеждали их перейти на страницу настройки подключённых приложений Salesforce. Там жертв просили ввести так называемый «код подключения» — действие, которое фактически связывало вредоносное приложение под видом утилиты Data Loader с инфраструктурой жертвы. Иногда поддельное приложение маскировалось под название «My Ticket Portal», чтобы выглядеть более убедительно.
Дополнительно применялись фишинговые сайты, имитирующие интерфейсы входа в Okta, чтобы украсть учётные данные и токены многофакторной аутентификации. Эта схема позволяла злоумышленникам получить полный доступ к базам данных, содержащим информацию о клиентах и контактах компаний.
В течение короткого времени о компрометации облачных CRM-систем сообщили несколько компаний. Louis Vuitton, Dior и Tiffany & Co. подтвердили несанкционированный доступ к платформе, используемой для управления клиентскими данными. В Корее подразделение Tiffany уведомило клиентов о взломе стороннего поставщика услуг. Allianz Life также признала, что злоумышленник получил доступ к их облачной CRM-системе 16 июля 2025 года. Qantas отказалась назвать конкретную платформу, однако местные СМИ уверены, что речь идёт именно о Salesforce. Судебные документы подтверждают, что были атакованы таблицы «Accounts» и «Contacts», что характерно для данной платформы.
На момент публикации не зафиксировано утечек или публичных требований о выкупе. Однако, по информации журналистов, злоумышленники связываются с пострадавшими компаниями по электронной почте, представляясь ShinyHunters и угрожая сливом данных, если не получат оплату. Такая схема напоминает их же Для просмотра ссылки Войдиили Зарегистрируйся .
Ситуация осложняется тем, что действия ShinyHunters в некоторых случаях путают с операциями группировки Scattered Spider (UNC3944), Для просмотра ссылки Войдиили Зарегистрируйся в сферах авиации, ритейла и страхования. Однако в отличие от Scattered Spider, которая проникает в корпоративные сети полностью и применяет программы-вымогатели, ShinyHunters фокусируются на целевых атаках против облачных платформ и последующем шантаже.
Некоторые специалисты предполагают, что между двумя группами может быть пересечение: они могут общаться в одних и тех же киберпреступных сообществах и даже состоять из одних и тех же участников. Отдельные аналитики связывают их с распавшейся группировкой Lapsus$. Есть также версия, что ShinyHunters выполняют роль посредника — ex<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">tor</span>tion-as-a-service — вымогая деньги от имени других взломщиков и получая процент с выплат. Подобную схему они уже реализовывали в атаках на Oracle Cloud, PowerSchool, NitroPDF, Wattpad, MathWay и другие сервисы.
Несмотря на аресты людей, связанных с ShinyHunters и операцией Для просмотра ссылки Войдиили Зарегистрируйся , атаки не прекращаются. Всё чаще компании получают письма, начинающиеся с заявления: «Мы — ShinyHunters», что подчёркивает коллективный, а не индивидуальный характер группировки.
Salesforce официально заявила, что сама платформа уязвимостей не имеет и не была взломана. Ответственность за безопасность, по их словам, лежит на клиентах, которые должны предпринимать меры по защите от социальной инженерии. Компания рекомендует ограничить вход с доверенных IP-адресов, включить многофакторную аутентификацию, минимизировать права доступа у подключённых приложений и использовать модуль Salesforce Shield для мониторинга активности. Также рекомендуется назначить ответственного за безопасность, чтобы ускорить реагирование на инциденты.
Широкомасштабные атаки ShinyHunters демонстрируют новую фазу в развитии киберугроз: гибридные методы социальной инженерии, нацеленные не на уязвимости программного обеспечения, а на уязвимости человеческой психологии и недоработки в управлении доступами.
Злоумышленники, действующие под именем Для просмотра ссылки Войди
Для просмотра ссылки Войди
Дополнительно применялись фишинговые сайты, имитирующие интерфейсы входа в Okta, чтобы украсть учётные данные и токены многофакторной аутентификации. Эта схема позволяла злоумышленникам получить полный доступ к базам данных, содержащим информацию о клиентах и контактах компаний.
В течение короткого времени о компрометации облачных CRM-систем сообщили несколько компаний. Louis Vuitton, Dior и Tiffany & Co. подтвердили несанкционированный доступ к платформе, используемой для управления клиентскими данными. В Корее подразделение Tiffany уведомило клиентов о взломе стороннего поставщика услуг. Allianz Life также признала, что злоумышленник получил доступ к их облачной CRM-системе 16 июля 2025 года. Qantas отказалась назвать конкретную платформу, однако местные СМИ уверены, что речь идёт именно о Salesforce. Судебные документы подтверждают, что были атакованы таблицы «Accounts» и «Contacts», что характерно для данной платформы.
На момент публикации не зафиксировано утечек или публичных требований о выкупе. Однако, по информации журналистов, злоумышленники связываются с пострадавшими компаниями по электронной почте, представляясь ShinyHunters и угрожая сливом данных, если не получат оплату. Такая схема напоминает их же Для просмотра ссылки Войди
Ситуация осложняется тем, что действия ShinyHunters в некоторых случаях путают с операциями группировки Scattered Spider (UNC3944), Для просмотра ссылки Войди
Некоторые специалисты предполагают, что между двумя группами может быть пересечение: они могут общаться в одних и тех же киберпреступных сообществах и даже состоять из одних и тех же участников. Отдельные аналитики связывают их с распавшейся группировкой Lapsus$. Есть также версия, что ShinyHunters выполняют роль посредника — ex<span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">tor</span>tion-as-a-service — вымогая деньги от имени других взломщиков и получая процент с выплат. Подобную схему они уже реализовывали в атаках на Oracle Cloud, PowerSchool, NitroPDF, Wattpad, MathWay и другие сервисы.
Несмотря на аресты людей, связанных с ShinyHunters и операцией Для просмотра ссылки Войди
Salesforce официально заявила, что сама платформа уязвимостей не имеет и не была взломана. Ответственность за безопасность, по их словам, лежит на клиентах, которые должны предпринимать меры по защите от социальной инженерии. Компания рекомендует ограничить вход с доверенных IP-адресов, включить многофакторную аутентификацию, минимизировать права доступа у подключённых приложений и использовать модуль Salesforce Shield для мониторинга активности. Также рекомендуется назначить ответственного за безопасность, чтобы ускорить реагирование на инциденты.
Широкомасштабные атаки ShinyHunters демонстрируют новую фазу в развитии киберугроз: гибридные методы социальной инженерии, нацеленные не на уязвимости программного обеспечения, а на уязвимости человеческой психологии и недоработки в управлении доступами.
- Источник новости
- www.securitylab.ru
