ShinyHunters атакует Google и Salesforce: как фишинг и OAuth-приложения привели к утечке данных миллионов предприятий

В начале июня 2025 года группа хакеров, отслеживаемая как UNC6040 и UNC6240 и связанная с ShinyHunters, провела масштабную атаку на корпоративный инстанс Salesforce компании Google. Целью злоумышленников стали контактные данные малого и среднего бизнеса, хранившиеся в системе. Атака сочетала социальную инженерию, злоупотребление OAuth-приложениями и многослойную анонимизацию, что позволило преступникам оставаться незамеченными в течение критического периода.

Описание

Основным вектором атаки стал вишинг (голосовой фишинг). Злоумышленники, выдавая себя за себя за сотрудников ИТ-поддержки, убедили одного из работников Google одобрить установку вредоносного OAuth-приложения, интегрированного с Salesforce. После получения доступа акторы развернули специальные Python-скрипты, имитирующие функциональность стандартного инструмента Salesforce DataLoader, что позволило автоматизировать массовый экспорт данных. Для маскировки своего местоположения инициация звонков осуществлялась через Mullvad VPN, а эксфильтрация данных - через узлы сети TOR.

Google подтвердил факт инцидента, но отметил, что пароли пользователей не были скомпрометированы. Однако утекшие данные - названия компаний, адреса электронной почты, номера телефонов и сопутствующие заметки - представляют значительный риск для миллионов предприятий. Утечка может привести к целенаправленным фишинговым кампаниям, мошенничеству и репутационным потерям как для Google, так и для пострадавших клиентов.

Параллельно с атакой на Google активизировалась другая группа - UNC6395, которая скомпрометировала интеграцию Salesloft Drift, использующуюся для подключения к Salesforce. Через кражу OAuth-токенов злоумышленники получили возможность выполнять произвольные SOQL-запросы к базам данных Salesforce, извлекая информацию о клиентах, учётных записях и транзакциях. По предварительным данным, основной целью атакующих были учётные данные AWS, пароли и токены доступа к Snowflake.

Исследователи кибербезопасности отмечают, что группа UNC6040, также известная как Scattered LAPSUS$ Hunters, демонстрирует схожие тактики с коллективом ShinyHunters. Их методы включают не только технические эксплуатации, но и активное использование психологических манипуляций. В Telegram-канале группы регулярно проводятся опросы, в которых участники сообщества решают, данные какой компании опубликовать next. Также там рекламируются нулевые дни и инструменты для вымогательских атак.

Подобные кампании уже затронули множество крупных компаний по всему миру, включая Adidas, Qantas, LVMH, Santander, Ticketmaster и многих других. В каждом случае наблюдались перекрывающиеся тактики: использование скомпрометированных OAuth-приложений, вишинг, экспорт данных через анонимные сети и требования выкупа в криптовалюте.

Специалисты подчёркивают, что рост числа инцидентов, связанных с компрометацией облачных сред и интеграций третьих сторон, указывает на системные проблемы в управлении идентификацией и доступом в SaaS-экосистемах. Компаниям рекомендуется усилить контроль за одобрением OAuth-приложений, внедрить строгую аутентификацию сотрудников и проводить регулярное обучение по противодействию социальной инженерии.

Обе атаки - на Google и через Salesloft Drift - демонстрируют, как современные киберпреступники эффективно используют человеческий фактор и слабости в настроенных интеграциях, чтобы получить доступ к критически важным бизнес-данным. Реакция пострадавших организаций и регуляторов определит, насколько эффективно индустрия сможет противостоять таким угрозам в будущем.