Microsoft Maps Year-Long ShinyHunters-Linked Salesforce Data Theft Across Three Paths
Angreifer, die mit der Gruppe ShinyHunters in Verbindung gebracht werden, haben über ein Jahr lang Salesforce-Umgebungen kompromittiert, ohne Schwachstellen auszunutzen. Sie nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps. Unternehmen sollten ihre OAuth-Verbindungen und Zugriffsrechte sorgfältig prüfen und unnötige Berechtigungen widerrufen, um sich vor solchen Angriffen zu schützen.
Angreifer, die mit ShinyHunters in Verbindung gebracht werden, haben über ein Jahr lang Salesforce-Umgebungen kompromittiert. Sie nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps, anstatt Schwachstellen in Salesforce auszunutzen. Unternehmen sollten ihre OAuth-Verbindungen und Zugriffsrechte sorgfältig prüfen und unnötige Berechtigungen widerrufen.
Organisationen, die Salesforce nutzen und OAuth-Verbindungen zu Drittanbieter-Apps eingerichtet haben.
Dieser Angriff zeigt, dass selbst gut gesicherte Plattformen wie Salesforce durch die Ausnutzung von Drittanbieter-Integrationen kompromittiert werden können. Die Angreifer nutzten legitime Zugangswege, was die Erkennung erschwert und eine Überprüfung der OAuth-Berechtigungen unerlässlich macht.
Unautorisierter, langfristiger Zugriff auf sensible Daten in Salesforce-Umgebungen, was zu Datenexfiltration und potenziellen Compliance-Verstößen führen kann.
Überprüfen und sichern Sie alle OAuth-Verbindungen zu Drittanbieter-Apps in Ihrer Salesforce-Umgebung. Widerrufen Sie unnötige Berechtigungen und implementieren Sie das Prinzip der geringsten Privilegien.
- ▸Überprüfen Sie alle aktiven OAuth-Verbindungen in Ihrer Salesforce-Umgebung und identifizieren Sie alle verbundenen Drittanbieter-Apps.
- ▸Auditieren Sie die Berechtigungen jeder Drittanbieter-App, die über OAuth mit Salesforce verbunden ist, und stellen Sie sicher, dass nur die absolut notwendigen Berechtigungen erteilt wurden.
- ▸Überwachen Sie Salesforce-Audit-Logs auf ungewöhnliche Zugriffe oder Datenexfiltration, insbesondere von Drittanbieter-Apps oder über OAuth-Verbindungen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1133 External Remote Services | High | Angreifer nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps. |
| Persistence | T1133 External Remote Services | High | Angreifer nutzten bestehende OAuth-Verbindungen zu Drittanbieter-Apps. |
| Collection | T1005 Data from Local System | Low | Datenexfiltration (impliziert durch 'data theft campaign') |
- Spezifische Drittanbieter-Apps, die ausgenutzt wurden, sind nicht im Artikel genannt.
- Die genauen Methoden der Datenexfiltration sind nicht spezifiziert.
- Die spezifischen Salesforce-Daten, die gestohlen wurden, sind nicht genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Möglich
- Detection / Logging prüfbar?Unklar
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Sind wir hiervon betroffen — und können wir es detektieren?