Защита учётных записей от паттернов атак ShinyHunters

Анализируя резонансные утечки данных последних лет, эксперты фиксируют явную повторяемость методов, несмотря на смену целей и платформ. В 2024 году клиенты Snowflake пострадали из-за использования учётных данных, собранных инфостилерами ещё в 2020 году.

В августе 2025 года инфраструктура многих пользователей Salesforce была скомпрометирована из-за кражи OAuth-токенов из сервиса Salesloft Drift, а уже в ноябре того же года аналогичная ситуация произошла с токенами Gainsight, что затронуло более 200 изолированных экземпляров. Все эти инциденты объединяет общий знаменатель: разные точки входа и разные поставщики, но абсолютно идентичный результат — киберзлоумышленник получает валидный доступ и закрепляется в системе.

Проблема заключается в том, что восприятие ShinyHunters как единой хакерской группировки ошибочно. Это лишь бренд, который используется в момент вымогательства выкупа, тогда как реальной угрозой является сам паттерн действий. Киберпреступники используют разные подходы для получения доступа: от применения купленных логов с паролями до социальной инженерии для сброса многофакторной аутентификации. Отслеживание специфических индикаторов конкретной группы приводит к потере фокуса, тогда как компаниям необходимо сосредоточиться на выявлении поведенческих аномалий скомпрометированных учётных записей.

Независимо от метода первоначальной компрометации, шаблон атаки состоит из четырёх последовательных этапов. Большинство публичных отчётов фокусируется на конечных платформах, откуда похищаются данные, однако путь всегда проходит через системы управления учётными записями, такие как Microsoft 365, где аномальная активность впервые становится заметной.

1. Доступ (Access): фиксируется успешный вход с использованием валидных учётных данных или токенов. Соединение может поступать из нетипичной локации, маршрутизироваться через VPN-инфраструктуру или выходные узлы Tor, но базовая система расценивает это как легитимное действие.
2. Закрепление (Establish): в первые минуты после входа киберзлоумышленник обеспечивает себе устойчивое присутствие — регистрирует новые устройства, добавляет дополнительные методы обхода проверок и выдаёт разрешения сторонним приложениям.
3. Расширение (Expand): скомпрометированная учётная запись начинает массово взаимодействовать со средой SharePoint или каталогами OneDrive, к которым ранее никогда не обращалась, выполняя активные поисковые запросы.
4. Эксфильтрация (Exfiltrate): только после формирования понимания внутренней архитектуры происходит целевая выгрузка данных из конечных систем.

Детальный разбор кампаний показывает, как один поведенческий шаблон реализуется через разные векторы атаки. Первый сценарий предполагает использование ранее похищенных учётных данных, когда система фиксирует вход с неизвестного устройства, однако сама сессия полностью имитирует легитимную. В таких обстоятельствах статические правила доступа срабатывают штатно, а выявление угрозы возможно исключительно при условии тщательного анализа скорости и характера действий после входа в систему.

Другой показательный пример — злоупотребление доверенными расширениями через компрометацию OAuth. В случаях с аналитическими сервисами компании самостоятельно предоставляют широкие привилегии сторонним приложениям для оптимизации рабочих процессов. Когда инфраструктура этих вендоров взламывается, киберпреступники получают токены с высоким уровнем доступа, действуя от имени доверенного внутреннего ресурса компании. В обоих случаях итоговый успех зависит от того, сможет ли система безопасности отреагировать на нетипичные действия «проверенных» пользователей.

Базовые рекомендации по кибергигиене остаются необходимыми, однако современные атаки изначально спроектированы для обхода этих барьеров. Компания Vectra AI акцентирует внимание на том, что традиционные инструменты обнаружения не утратили своей эффективности — скорее, они остаются неполными, поскольку фокусируются исключительно на событиях до успешной аутентификации. Современные архитектуры, основанные на концепции Zero Trust, требуют постоянного контроля того, соответствуют ли текущие действия установленному профилю пользователя.

Специализированные решения Vectra AI позволяют выявлять активность киберзлоумышленников уже после успешного входа в систему, работая в слепой зоне, которую оставляют классические средства защиты. Кроссплатформенный анализ автоматически коррелирует данные между различными средами, превращая разрозненные разрешённые события в чёткую цепочку подозрительной активности. Это позволяет оперативно изолировать угрозу до начала эксфильтрации критически важных данных.

Резюмируя, следует отметить, что фокус на конкретных группировках или отдельных индикаторах является концептуальной ошибкой. Стратегическая ценность современной защиты заключается в изменении модели доверия: успешная аутентификация больше не гарантирует безопасность операций. Подлинной линией обороны становится способность выявлять поведенческие аномалии в реальном времени.

iIT Distribution является официальным дистрибьютором решений Vectra AI и обеспечивает партнёров и заказчиков экспертной поддержкой на всех этапах реализации проектов в области безопасности. Команда iITD помогает подбирать оптимальные инструменты для поведенческого анализа, разрабатывает архитектуру решений в соответствии с концепцией Zero Trust и проводит аудит устойчивости корпоративных SaaS-сред. Специалисты компании становятся надёжным продолжением команды партнёра, обеспечивая высококвалифицированное сопровождение от первичной оценки потребностей до полноценного внедрения систем противодействия киберугрозам.