Вместо вируса — актёр. Вместо взлома — доверие. Это уже не кибератака, а драма
NewsMakerIT-специалисты — фальшивые, многомиллионные убытки — реальные.
Злоумышленники, действующие под именем ShinyHunters , организовали серию атак на крупные компании, включая Qantas, Allianz Life, LVMH и Adidas. Все инциденты связаны с попытками проникновения в клиентские системы Salesforce через методы социальной инженерии, в первую очередь — голосовой фишинг ( вишинг ).
По данным Google Threat Intelligence Group (GTIG), киберпреступники, идентифицированные как UNC6040, выдавали себя за специалистов IT-поддержки. Они звонили сотрудникам и убеждали их перейти на страницу настройки подключённых приложений Salesforce. Там жертв просили ввести так называемый «код подключения» — действие, которое фактически связывало вредоносное приложение под видом утилиты Data Loader с инфраструктурой жертвы. Иногда поддельное приложение маскировалось под название «My Ticket Portal», чтобы выглядеть более убедительно.
Дополнительно применялись фишинговые сайты, имитирующие интерфейсы входа в Okta, чтобы украсть учётные данные и токены многофакторной аутентификации. Эта схема позволяла злоумышленникам получить полный доступ к базам данных, содержащим информацию о клиентах и контактах компаний.
В течение короткого времени о компрометации облачных CRM-систем сообщили несколько компаний. Louis Vuitton, Dior и Tiffany & Co. подтвердили несанкционированный доступ к платформе, используемой для управления клиентскими данными. В Корее подразделение Tiffany уведомило клиентов о взломе стороннего поставщика услуг. Allianz Life также признала, что злоумышленник получил доступ к их облачной CRM-системе 16 июля 2025 года. Qantas отказалась назвать конкретную платформу, однако местные СМИ уверены, что речь идёт именно о Salesforce. Судебные документы подтверждают, что были атакованы таблицы «Accounts» и «Contacts», что характерно для данной платформы.
На момент публикации не зафиксировано утечек или публичных требований о выкупе. Однако, по информации журналистов, злоумышленники связываются с пострадавшими компаниями по электронной почте, представляясь ShinyHunters и угрожая сливом данных, если не получат оплату. Такая схема напоминает их же предыдущие атаки через Snowflake .
Ситуация осложняется тем, что действия ShinyHunters в некоторых случаях путают с операциями группировки Scattered Spider (UNC3944), также активной в сферах авиации, ритейла и страхования. Однако в отличие от Scattered Spider, которая проникает в корпоративные сети полностью и применяет программы-вымогатели, ShinyHunters фокусируются на целевых атаках против облачных платформ и последующем шантаже.
Некоторые специалисты предполагают, что между двумя группами может быть пересечение: они могут общаться в одних и тех же киберпреступных сообществах и даже состоять из одних и тех же участников. Отдельные аналитики связывают их с распавшейся группировкой Lapsus$. Есть также версия, что ShinyHunters выполняют роль посредника — extortion-as-a-service — вымогая деньги от имени других взломщиков и получая процент с выплат. Подобную схему они уже реализовывали в атаках на Oracle Cloud, PowerSchool, NitroPDF, Wattpad, MathWay и другие сервисы.
Несмотря на аресты людей, связанных с ShinyHunters и операцией Breached v2 , атаки не прекращаются. Всё чаще компании получают письма, начинающиеся с заявления: «Мы — ShinyHunters», что подчёркивает коллективный, а не индивидуальный характер группировки.
Salesforce официально заявила, что сама платформа уязвимостей не имеет и не была взломана. Ответственность за безопасность, по их словам, лежит на клиентах, которые должны предпринимать меры по защите от социальной инженерии. Компания рекомендует ограничить вход с доверенных IP-адресов, включить многофакторную аутентификацию, минимизировать права доступа у подключённых приложений и использовать модуль Salesforce Shield для мониторинга активности. Также рекомендуется назначить ответственного за безопасность, чтобы ускорить реагирование на инциденты.
Широкомасштабные атаки ShinyHunters демонстрируют новую фазу в развитии киберугроз: гибридные методы социальной инженерии, нацеленные не на уязвимости программного обеспечения, а на уязвимости человеческой психологии и недоработки в управлении доступами.
Злоумышленники, действующие под именем ShinyHunters , организовали серию атак на крупные компании, включая Qantas, Allianz Life, LVMH и Adidas. Все инциденты связаны с попытками проникновения в клиентские системы Salesforce через методы социальной инженерии, в первую очередь — голосовой фишинг ( вишинг ).
По данным Google Threat Intelligence Group (GTIG), киберпреступники, идентифицированные как UNC6040, выдавали себя за специалистов IT-поддержки. Они звонили сотрудникам и убеждали их перейти на страницу настройки подключённых приложений Salesforce. Там жертв просили ввести так называемый «код подключения» — действие, которое фактически связывало вредоносное приложение под видом утилиты Data Loader с инфраструктурой жертвы. Иногда поддельное приложение маскировалось под название «My Ticket Portal», чтобы выглядеть более убедительно.
Дополнительно применялись фишинговые сайты, имитирующие интерфейсы входа в Okta, чтобы украсть учётные данные и токены многофакторной аутентификации. Эта схема позволяла злоумышленникам получить полный доступ к базам данных, содержащим информацию о клиентах и контактах компаний.
В течение короткого времени о компрометации облачных CRM-систем сообщили несколько компаний. Louis Vuitton, Dior и Tiffany & Co. подтвердили несанкционированный доступ к платформе, используемой для управления клиентскими данными. В Корее подразделение Tiffany уведомило клиентов о взломе стороннего поставщика услуг. Allianz Life также признала, что злоумышленник получил доступ к их облачной CRM-системе 16 июля 2025 года. Qantas отказалась назвать конкретную платформу, однако местные СМИ уверены, что речь идёт именно о Salesforce. Судебные документы подтверждают, что были атакованы таблицы «Accounts» и «Contacts», что характерно для данной платформы.
На момент публикации не зафиксировано утечек или публичных требований о выкупе. Однако, по информации журналистов, злоумышленники связываются с пострадавшими компаниями по электронной почте, представляясь ShinyHunters и угрожая сливом данных, если не получат оплату. Такая схема напоминает их же предыдущие атаки через Snowflake .
Ситуация осложняется тем, что действия ShinyHunters в некоторых случаях путают с операциями группировки Scattered Spider (UNC3944), также активной в сферах авиации, ритейла и страхования. Однако в отличие от Scattered Spider, которая проникает в корпоративные сети полностью и применяет программы-вымогатели, ShinyHunters фокусируются на целевых атаках против облачных платформ и последующем шантаже.
Некоторые специалисты предполагают, что между двумя группами может быть пересечение: они могут общаться в одних и тех же киберпреступных сообществах и даже состоять из одних и тех же участников. Отдельные аналитики связывают их с распавшейся группировкой Lapsus$. Есть также версия, что ShinyHunters выполняют роль посредника — extortion-as-a-service — вымогая деньги от имени других взломщиков и получая процент с выплат. Подобную схему они уже реализовывали в атаках на Oracle Cloud, PowerSchool, NitroPDF, Wattpad, MathWay и другие сервисы.
Несмотря на аресты людей, связанных с ShinyHunters и операцией Breached v2 , атаки не прекращаются. Всё чаще компании получают письма, начинающиеся с заявления: «Мы — ShinyHunters», что подчёркивает коллективный, а не индивидуальный характер группировки.
Salesforce официально заявила, что сама платформа уязвимостей не имеет и не была взломана. Ответственность за безопасность, по их словам, лежит на клиентах, которые должны предпринимать меры по защите от социальной инженерии. Компания рекомендует ограничить вход с доверенных IP-адресов, включить многофакторную аутентификацию, минимизировать права доступа у подключённых приложений и использовать модуль Salesforce Shield для мониторинга активности. Также рекомендуется назначить ответственного за безопасность, чтобы ускорить реагирование на инциденты.
Широкомасштабные атаки ShinyHunters демонстрируют новую фазу в развитии киберугроз: гибридные методы социальной инженерии, нацеленные не на уязвимости программного обеспечения, а на уязвимости человеческой психологии и недоработки в управлении доступами.