Эксперты Mandiant, подразделения компании Google, опубликовали детальный отчет под названием «Mandiant обнаруживает вишинг-атаки в стиле ShinyHunters, крадущие MFA для взлома SaaS-платформ». Главный вывод специалистов заключается в тревожном расширении финансово мотивированной киберпреступной деятельности, использующей методы вымогательства, характерные для группировки ShinyHunters. Ключевой особенностью этих инцидентов является то, что первопричиной взлома становятся не уязвимости в программных продуктах вендоров, а исключительная эффективность социальной инженерии, направленной против сотрудников компаний.
Для классификации этой эволюционирующей угрозы Mandiant отслеживает активность через несколько отдельных кластеров, что позволяет учитывать тактику подражателей и изменения в методах работы. Основная группа идентифицируется как ShinyHunters, известная своими финансовыми мотивами. Дополнительно выделены кластеры отслеживания UNC6661, UNC6671 и UNC6240 (также известный как ShinyHunters). Природа этих групп описывается как аморфная, что, вероятно, подразумевает участие различных составов людей в операциях, объединенных общими целями и инструментарием.
Активная фаза атак была зафиксирована в период с начала до середины января 2026 года. В частности, деятельность кластера UNC6671, который специализировался на том, чтобы выдавать себя за IT-персонал для обмана жертв, была идентифицирована с первых чисел января 2026 года. Злоумышленники действуют по строго определенному жизненному циклу, ориентированному на вымогательство, начиная с получения первоначального доступа через продвинутый голосовой фишинг (вишинг). Для этого используются поддельные сайты для сбора учетных данных, которые копируют фирменный стиль целевых компаний.
Целью первой фазы атаки является сбор учетных данных единого входа (SSO) и кодов многофакторной аутентификации (MFA). Получив эти данные, злоумышленники переходят к фазе закрепления, используя украденную информацию для регистрации собственного устройства в качестве доверенного фактора MFA. Это открывает им доступ к облачным приложениям «Программное обеспечение как услуга» (SaaS), позволяя беспрепятственно перемещаться внутри сети жертвы. Особое внимание уделяется платформам Identity Providers (IdP) и учетным записям клиентов Okta.
На этапе бокового перемещения и выполнения вредоносного кода хакеры применяют специфические инструменты. Например, кластер UNC6671 использует PowerShell для скачивания данных из SharePoint и OneDrive. Скомпрометированные учетные записи электронной почты применяются для рассылки новых фишинговых писем, причем целью часто становятся компании, ориентированные на криптовалюту. Чтобы скрыть следы своего присутствия, злоумышленники удаляют отправленные письма. Конечными целями кампании являются вымогательство, кража конфиденциальных данных, внутренней переписки и эскалация конфликта вплоть до преследования персонала жертвы.
В ответ на эти угрозы Google и Mandiant разработали стратегию по усилению защиты, регистрации событий и обнаружению атак. Фундаментальной рекомендацией является переход на фишинго-устойчивую многофакторную аутентификацию с использованием ключей безопасности FIDO2 и Passkeys. Специалисты настоятельно советуют полностью отказаться от SMS, телефонных звонков и электронной почты в качестве методов аутентификации. Протоколы работы службы поддержки (Help Desk) должны требовать обязательной видеосвязи для верификации личности сотрудника перед сбросом паролей или изменением настроек доступа.
Для эффективного обнаружения вторжений организациям необходимо внедрить глубокое логирование действий с идентификационными данными и авторизациями. Особое внимание следует уделять таким сигналам, как регистрация новых устройств MFA, изменения жизненного цикла устройств и события авторизации приложений OAuth. Также критически важно отслеживать манипуляции с почтовыми ящиками, в частности использование утилит типа ToogleBox Email Recall, и любые события, связанные с идентификацией, происходящие в нерабочее время. Необходимо также проводить аудит на предмет раскрытых секретов и ограничить доступ к панелям управления.
Изображение носит иллюстративный характер
Для классификации этой эволюционирующей угрозы Mandiant отслеживает активность через несколько отдельных кластеров, что позволяет учитывать тактику подражателей и изменения в методах работы. Основная группа идентифицируется как ShinyHunters, известная своими финансовыми мотивами. Дополнительно выделены кластеры отслеживания UNC6661, UNC6671 и UNC6240 (также известный как ShinyHunters). Природа этих групп описывается как аморфная, что, вероятно, подразумевает участие различных составов людей в операциях, объединенных общими целями и инструментарием.
Активная фаза атак была зафиксирована в период с начала до середины января 2026 года. В частности, деятельность кластера UNC6671, который специализировался на том, чтобы выдавать себя за IT-персонал для обмана жертв, была идентифицирована с первых чисел января 2026 года. Злоумышленники действуют по строго определенному жизненному циклу, ориентированному на вымогательство, начиная с получения первоначального доступа через продвинутый голосовой фишинг (вишинг). Для этого используются поддельные сайты для сбора учетных данных, которые копируют фирменный стиль целевых компаний.
Целью первой фазы атаки является сбор учетных данных единого входа (SSO) и кодов многофакторной аутентификации (MFA). Получив эти данные, злоумышленники переходят к фазе закрепления, используя украденную информацию для регистрации собственного устройства в качестве доверенного фактора MFA. Это открывает им доступ к облачным приложениям «Программное обеспечение как услуга» (SaaS), позволяя беспрепятственно перемещаться внутри сети жертвы. Особое внимание уделяется платформам Identity Providers (IdP) и учетным записям клиентов Okta.
На этапе бокового перемещения и выполнения вредоносного кода хакеры применяют специфические инструменты. Например, кластер UNC6671 использует PowerShell для скачивания данных из SharePoint и OneDrive. Скомпрометированные учетные записи электронной почты применяются для рассылки новых фишинговых писем, причем целью часто становятся компании, ориентированные на криптовалюту. Чтобы скрыть следы своего присутствия, злоумышленники удаляют отправленные письма. Конечными целями кампании являются вымогательство, кража конфиденциальных данных, внутренней переписки и эскалация конфликта вплоть до преследования персонала жертвы.
В ответ на эти угрозы Google и Mandiant разработали стратегию по усилению защиты, регистрации событий и обнаружению атак. Фундаментальной рекомендацией является переход на фишинго-устойчивую многофакторную аутентификацию с использованием ключей безопасности FIDO2 и Passkeys. Специалисты настоятельно советуют полностью отказаться от SMS, телефонных звонков и электронной почты в качестве методов аутентификации. Протоколы работы службы поддержки (Help Desk) должны требовать обязательной видеосвязи для верификации личности сотрудника перед сбросом паролей или изменением настроек доступа.
Для эффективного обнаружения вторжений организациям необходимо внедрить глубокое логирование действий с идентификационными данными и авторизациями. Особое внимание следует уделять таким сигналам, как регистрация новых устройств MFA, изменения жизненного цикла устройств и события авторизации приложений OAuth. Также критически важно отслеживать манипуляции с почтовыми ящиками, в частности использование утилит типа ToogleBox Email Recall, и любые события, связанные с идентификацией, происходящие в нерабочее время. Необходимо также проводить аудит на предмет раскрытых секретов и ограничить доступ к панелям управления.
