Как за год взломали Salesforce, ни разу не тронув саму платформу?

Microsoft опубликовала 13 июля исследование, которое стоит прочитать любому, кто отвечает за корпоративную безопасность. Группа, чьи методы совпадают с почерком вымогателей ShinyHunters, почти год лазила по корпоративным средам Salesforce. И ни разу не воспользовалась уязвимостью самой платформы. Вместо этого злоумышленники били по доверию — тем самым OAuth-соединениям, которые связывают Salesforce со сторонними приложениями и поставщиками. Кампания растянулась примерно с середины 2025 по середину 2026 года, и Microsoft вместе с самой Salesforce уже выкатила новые инструменты для обнаружения таких вторжений.
Проблема в том, что трафик от одобренного приложения или доверенной интеграции выглядит абсолютно легитимно. Стандартный мониторинг входа в систему такое не ловит — он вообще не для этого создавался. Логирование в Salesforce исторически показывало, кто вошёл, но не показывало, что именно приложение делает внутри после подключения. Именно в эту дыру и полезли атакующие, причём тремя разными способами: через голосовой фишинг, через кражу OAuth-токенов у поставщиков и через неправильно настроенный гостевой доступ на сайтах Experience Cloud. Жертвы обнаружились в ритейле, образовании и производстве.
Первый путь — старый добрый звонок. С середины 2025 года атакующие представлялись сотрудниками ИТ-поддержки и по телефону вели жертву через экран согласия OAuth в Salesforce. Человека убеждали одобрить приложение, замаскированное под официальный инструмент Data Loader от самой Salesforce. После одобрения вредоносное приложение получало возможность делать API-запросы от имени скомпрометированного пользователя, перебирать данные организации, держать постоянный доступ к записям CRM и искать учётные данные для перехода на другие SaaS-платформы. Ни вредоносного кода, ни кражи паролей — просто звонок и один клик по кнопке согласия.
Google подтвердила, что в июне 2025 года был взломан один из её корпоративных инстансов Salesforce — злоумышленники успели забрать в основном публичные бизнес-контакты, прежде чем доступ перекрыли. В той же волне публично фигурируют Chanel и Pandora. Среди прочих целей называют Adidas, Qantas, Allianz Life и несколько брендов LVMH. В Mandiant предупредили: такие звонки эксплуатируют естественное желание сотрудников службы поддержки быть полезными, а стандартные проверки личности здесь часто просто не срабатывают. Совет прост — положить трубку и перезвонить по заведомо проверенному номеру.
Второй путь обходится вообще без сотрудников. Атакующие компрометируют стороннего поставщика, чьё приложение уже имеет OAuth-доступ к клиентским Salesforce-организациям, крадут токены подключения и через них выгребают данные сразу из множества инстансов. Трафик приходит от одобренной интеграции, поэтому сигнализация о входе молчит. В августе 2025 года именно так пострадал Salesloft: злоумышленники украли OAuth и refresh-токены, привязанные к интеграции Drift AI Chat, и использовали их против клиентских сред Salesforce. По оценке Google, потенциально затронуты более 700 организаций, включая Cloudflare, Zscaler, Palo Alto Networks, Proofpoint, PagerDuty и Tanium. Google называет кластер UNC6395, Cloudforce One из Cloudflare — GRUB1. По данным самого Salesloft, корень проблемы уходит ещё в март 2025 года, когда атакующий получил доступ к GitHub-аккаунту компании, через него пробрался в AWS-окружение Drift и там собрал токены. Дальше в ход пошли SOQL-запросы, перебиравшие обращения в поддержку и другие объекты в поисках ключей AWS, токенов Snowflake и паролей, а после операторы удаляли свои запросы, чтобы затруднить расследование.
В ноябре 2025 та же схема сработала против другого поставщика — Gainsight. Salesforce отключила публикуемые Gainsight приложения после обнаружения аномальной активности API. Google Threat Intelligence Group связала эту кампанию с аффилиатами ShinyHunters. Пострадало более 200 инстансов Salesforce. Сама группировка ShinyHunters заявила, что волны Salesloft и Gainsight в сумме затронули почти тысячу организаций, хотя независимо это никто не подтвердил.
Третий случай — самый свежий, июнь 2026 года. Атакующие получили доступ к платформе конкурентной разведки Klue через давно заброшенную, но всё ещё активную учётную запись, оставшуюся от тестовой интеграции, которую так и не запустили в работу. Через неё они протолкнули обновление кода, собиравшее OAuth-токены клиентов. С помощью этих токенов был получен доступ к данным Salesforce и Gong клиентов Klue, в том числе Huntress и Recorded Future. Microsoft отслеживает эту группу под именем Storm-3138. Здесь начинается путаница с именами: большая часть индустрии, включая Huntress и Datadog, связывает взлом Klue с группой Icarus, а некий Telegram-аккаунт, выдающий себя за ShinyHunters, тоже взял на себя ответственность. Метки атрибуции в этих кампаниях явно накладываются друг на друга, и группировки претендуют на чужие взломы довольно охотно.
Четвёртый способ проникновения вообще не требует учётных данных. Microsoft зафиксировала рост подозрительной активности гостевых пользователей на Aura-эндпоинтах — фреймворке, на котором работают сайты Experience Cloud. Там, где права гостевых пользователей были настроены небрежно, атакующие получали доступ к функциям Aura без какой-либо аутентификации. Технически это выглядело как вызов GraphQL-контроллера Aura с постраничной пагинацией по курсору, позволяющей вытащить записи за пределы стандартного лимита в 2000 штук за запрос. В своём разборе Microsoft упоминает инструмент AuraInspector, использовавшийся для прощупывания таких эндпоинтов. Никакого эксплойта — просто гостевые роли, открывающие больше данных, чем задумывалось.
В ответ Microsoft обновила коннектор Defender for Cloud Apps для клиентов, использующих Salesforce Shield Event Monitoring: теперь он подключает фреймворк Real-Time Event Monitoring для почти мгновенного обнаружения, добавляет привязку активности к конкретному подключённому приложению и его OAuth-областям, а также даёт больше контекста по сессиям и API-вызовам. Отдельно появились функции контроля состояния для подключённых OAuth-приложений: список приложений с повышенными привилегиями, выявление неиспользуемых более 90 дней приложений, всё ещё сохраняющих активные права, и оценка риска каждого приложения по шкале от 0 до 100, которую можно привязать к оповещениям и политикам.
Из практических рекомендаций Microsoft: подключить инстансы Salesforce к Defender for Cloud Apps ради дополнительной телеметрии, включить и реально отслеживать журналы событий Salesforce, закрыть гостевой доступ в Experience Cloud. Из более фундаментальных мер — провести инвентаризацию всех подключённых приложений, отключить неиспользуемые, ограничить оставшиеся минимально необходимыми правами и быть готовыми немедленно отзывать и обновлять токены при малейшем странном поведении интеграции.
Идентификационные механизмы, выстроенные за последнее десятилетие — многофакторная аутентификация, условный доступ, политики сессий — проектировались под человеческий вход в систему. OAuth-приложения, интеграционные аккаунты и служебные учётные данные, которые в современном стеке Salesforce делают всю реальную работу, в значительной степени остаются за пределами этих механизмов, без присмотра и с избыточными правами. Именно эту слепую зону атакующие эксплуатировали целый год, а во многих случаях точкой входа служила банально забытая учётная запись, которую никто так и не отключил.
The Hacker News направила запрос в Microsoft с просьбой уточнить детали атрибуции этих кампаний и обещает обновить материал при получении ответа.


Новое на сайте

Ссылка