Die weit verbreitete Bedrohungsgruppe ShinyHunters, über die Obrela bereits berichtet hat, befindet sich nach einem Jahr der Inaktivität inmitten einer laufenden Bedrohungskampagne. Die Gruppe, die es auf Salesforce-Instanzen abgesehen hat, hat eine Reihe bedeutender globaler Organisationen ausgenutzt und ihre Opfer erpresst.
Beschreibung:
ShinyHunters wurde wahrscheinlich im Jahr 2020 gegründet und hat in den folgenden 4 Jahren zahlreiche Hacks gegen große Organisationen (Ticketmaster, AT&T, Microsoft, Santander) durch gezielte Phishing-Kampagnen und Ausnutzung legitimer Zugangsdaten für Cloud-Dienste durchgeführt. Nach einer offensichtlichen Pause ab Sommer 2024 hat die Gruppe ihre Aktivitäten wieder aufgenommen, und zwar mit einer Reihe neuer Taktiken, wie z. B. sehr gezieltes Voice-Phishing (Vishing) und Social-Engineering-Angriffe, einschließlich Anzeichen, die auf eine Partnerschaft mit der ebenfalls bedeutenden und sehr bekannten Bedrohungsgruppe Scattered Spider hindeuten.
In seiner neuen Bedrohungskampagne zielt ShinyHunters speziell auf Unternehmen ab und nutzt diese aus, indem es die von Salesforce gehosteten Datenbanken nutzt und damit verbundene Phishing-Domains und Seiten zum Sammeln von Anmeldeinformationen erstellt, um sich Zugang zum Unternehmen zu verschaffen. Hinzu kommen die äußerst effektiven Vishing-Angriffe und die VPN-Verschleierung, die für das Toolset von Scattered Spider charakteristisch sind.
Zu den jüngsten Opfern von Salesforce-basierten Angriffen gehören das HR-Unternehmen Workday, Google, Cisco, Qantas und zahlreiche Einzelhändler (Pandora, Louis Vuitton, Chanel, Adidas). Einige Analysen deuten darauf hin, dass die nächsten potenziellen Ziele Finanzdienstleistungen und Technologiedienstleister sind. Salesforce Security hat einen Blog-Beitrag veröffentlicht, in dem Richtlinien zum Schutz vor den Angriffen beschrieben werden.
Empfehlungen:
- Lesen Sie das Salesforce Security Bulletin für spezifische Hinweise: https://www.salesforce.com/blog/protect-against-social-engineering/.
- Für ähnliche Anwendungen können Sie Folgendes in Betracht ziehen:
- Setzen Sie die Multi-Faktor-Authentifizierung (MFA) universell durch.
- Erzwingen Sie IP-basierte Zugriffsbeschränkungen.
- Verwalten und beschränken Sie den Zugriff auf verbundene Anwendungen nach dem Prinzip der geringsten Berechtigung
Referenzen:
- https://www.obrela.com/advisory/shinyhunters-data-breach-activity-increase/
- https://www.salesforce.com/blog/protect-against-social-engineering/
- https://reliaquest.com/blog/threat-spotlight-shinyhunters-data-breach-targets-salesforce-amid-scattered-spider-collaboration/
- https://techcrunch.com/2025/08/18/hr-giant-workday-says-hackers-stole-personal-data-in-recent-breach/
- https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion
