Охота на ShinyHunters

Команда безопасности Google опубликовала разбор того, как хакерская группировка ShinyHunters умудрилась развернуть волну атак на системы единого входа — SSO, которыми сегодня пользуются почти все крупные компании. Эти системы позволяют сотрудникам входить во множество корпоративных сервисов через один аккаунт, что удобно, но превращает любую уязвимость в золотую жилу для злоумышленников.

Google отмечает: за последние месяцы ShinyHunters расширили список облачных платформ, на которые они нацеливаются. Ранее группа была известна массовыми утечками данных и продажей украденных баз, но теперь их внимание переключилось на более сложные схемы — фишинговые атаки против корпоративных SSO-систем. Хакеры создают поддельные страницы входа, маскируют их под реальные интерфейсы облачных платформ и заманивают туда жертв, получая доступ к корпоративным ресурсам.

Специалисты Google подчеркивают, что особенно опасно то, насколько быстро и масштабно ShinyHunters адаптируют свои уловки. Поддельные SSO‑формы создаются под разные облачные сервисы, включая популярные корпоративные платформы. В результате повышается риск атак сразу на целые организации, а не на отдельных пользователей.

Google заявляет, что компании необходимо пересматривать подход к защите SSO — усиливать мониторинг, внедрять многофакторную аутентификацию и учить сотрудников распознавать фишинг, который теперь выглядит всё более правдоподобно. По словам специалистов, эта кампания ShinyHunters демонстрирует, насколько уязвимы современные облачные экосистемы, если в них запустить всего одну хорошо продуманную фишинговую операцию.