Belsősnek tűnő támadók, valójában adathalászok
A ShinyHunters és társaik – például az UNC6661 és UNC6671 támadócsoportok – magukat vállalati IT- vagy helpdesk-dolgozóknak adják ki, és közvetlenül hívják fel a céges alkalmazottakat. A hívás során meggyőzik őket, hogy frissíteniük kell a többfaktoros hitelesítés (MFA) beállításait, miközben egy megtévesztően élethű céges bejelentkezési oldalt is megnyittatnak velük. Ezek az oldalak fejlett adathalász-készleteket használnak: a támadó interaktív ablakokon keresztül, valós időben utasítja az áldozatot, mit írjon be, milyen MFA-kódokat adjon meg.
Később az így megszerzett adatok segítségével a támadók sikeresen belépnek a céges fiókokba, saját eszközeiket is hozzáadják az MFA-hoz, ezáltal hosszú távon is hozzáférést szereznek, miközben az áldozat gyakran semmit nem vesz észre.
Felhős szolgáltatások teljes listája nyílik meg
Ahogy a támadó bejut egy fiókba, például az Okta, a Microsoft Entra vagy a Google SSO központi irányítófelületére, hozzáfér az összes olyan felhőszolgáltatáshoz, amelyet a munkavállaló használ: Salesforce, Microsoft 365, SharePoint, DocuSign, Slack, Atlassian, Dropbox, Google Drive és számos más külső vagy belső platform is elérhetővé válik egyetlen kompromittált fiókkal.
Ami kezdetben ártalmatlannak tűnt, az SSO-irányítópult így ugródeszkává válik a vállalati adatokhoz. Nem véletlen, hogy a ShinyHunters elsődleges célpontjai között kiemelt helyen szerepel a Salesforce. A támadók figyelemre méltó ügyességgel egyszerre többféle adatforrást is kiaknáznak – Python-szkripteket vagy PowerShell-eszközöket használnak például tömeges adatletöltésre.
Hogyan maradnak észrevétlenek?
A támadások során a behatolók okosan törlik azokat az e-maileket, amelyek MFA-módosításról vagy új bejelentkezési eszközről szólnak, például a Google Workspace ToggleBox Recall bővítménnyel pillanatok alatt eltüntetik a gyanús értesítések nyomát – így az áldozat később sem gyanakszik.
A támadók által alkalmazott domainnevek megtévesztően hasonlítanak a céges, belső vagy támogatási portálokhoz, például sso.com, internal.com, support.com formában. Az adathalászoldalak mögött többnyire VPN-re vagy lakossági proxyhálózatra kötött IP-címek húzódnak meg, mint például a Mullvad, Oxylabs vagy NetNut.
Így működnek a különböző zsarolócsapatok
Az UNC6661 csoport elsődlegesen adathalásztámadásokkal szerzi meg a belépési adatokat, majd MFA-t regisztrál saját eszközén. Ezt követően tetszőleges céges felhőalkalmazásból végeznek adatlopást, minden lehetséges jogosultságot kihasználva. Az adatlopás után gyakran maga a ShinyHunters (UNC6240) zsarolócsapata küld követelést, jellemzően a Tox üzenetküldőn keresztül.
Az UNC6671 hasonló módszereket alkalmaz, de ők nem a ShinyHunters nevében küldenek üzenetet, más Tox-azonosítót és agresszívebb nyomásgyakorlási taktikákat is bevetnek, néha egyenesen zaklatják az érintett cégek munkatársait.
Védekezés a kifinomult adathalászat ellen
A védekezés kulcsa a megfelelő viselkedési minták felismerése: ha egy SSO-fiók illetéktelen hozzáféréshez jut, majd gyors adatletöltés kezdődik, vagy szokatlan PowerShell User-Agent bukkan fel SharePoint- vagy OneDrive-hozzáférésnél, esetleg a ToggleBox Recall OAuth engedélytelenül aktiválódik, azonnal cselekedni kell.
A szakemberek azt javasolják, hogy a szervezetek erősítsék meg a hitelesítési folyamatokat, naplózzanak minden fontos eseményt, és aktívan keressék a fenti viselkedési anomáliákat – így a következő vishing akció előtt észrevehetik a bajt, mielőtt a vállalati felhőalkalmazások adatai veszélybe kerülnének.
