Захист облікових записів від патернів атак ShinyHunters

Аналізуючи гучні витоки даних за останні роки, експерти фіксують чітку повторюваність методів, незважаючи на зміну цілей та платформ. У 2024 році клієнти Snowflake постраждали через використання облікових даних, зібраних інфостилерами ще з 2020 року.

У серпні 2025 року інфраструктура багатьох користувачів Salesforce була скомпрометована через викрадення токенів OAuth із сервісу Salesloft Drift, а вже у листопаді того ж року аналогічна ситуація сталася з токенами Gainsight, що вплинуло на понад 200 ізольованих екземплярів. Усі ці інциденти об’єднує спільний знаменник: різні точки входу та різні постачальники, але абсолютно ідентичний результат — кіберзловмисник отримує валідний доступ та закріплюється в системі.

Проблема полягає в тому, що сприйняття ShinyHunters як єдиного хакерського угруповання є хибним. Це лише бренд, який застосовується в момент вимагання викупу, тоді як справжньою загрозою є сам патерн дій. Кіберзлочинці застосовують різні навички для отримання доступу: від використання куплених логів з паролями до соціальної інженерії для скидання багатофакторної автентифікації. Відстеження специфічних індикаторів конкретної групи призводить до втрати фокуса, тоді як компаніям необхідно зосередитися на виявленні поведінкових аномалій скомпрометованих облікових записів.

Незалежно від методу початкового компрометування, шаблон атаки складається з чотирьох послідовних етапів. Більшість публічних звітів фокусуються на фінальних платформах, звідки викрадаються дані, проте шлях завжди пролягає через системи управління обліковими записами на кшталт Microsoft 365, де аномальна активність стає видимою вперше.

1. Доступ (Access): Фіксується успішний вхід із використанням валідних облікових даних або токенів. З’єднання може надходити з нетипової локації, маршрутизуватися через VPN-інфраструктуру або вихідні вузли Tor, але базова система розцінює це як легітимну дію.
2. Закріплення (Establish): У перші хвилини після входу кіберзловмисник забезпечує собі стабільну присутність — реєструє нові пристрої, додає додаткові методи обходу перевірок та надає дозволи стороннім додаткам.
3. Розширення (Expand): Скомпрометований обліковий запис починає масово взаємодіяти із середовищем SharePoint або каталогами OneDrive, до яких раніше ніколи не звертався, виконуючи активні пошукові запити.
4. Ексфільтрація (Exfiltrate): Лише після формування розуміння внутрішньої архітектури відбувається цільове вивантаження даних із кінцевих систем.

Детальний розгляд кампаній демонструє, як один поведінковий шаблон реалізується через різні вектори атаки. Перший сценарій передбачає використання раніше викрадених облікових даних, коли система реєструє вхід з невідомого пристрою, проте сесія повністю імітує легітимну. У таких обставинах статичні правила доступу спрацьовують успішно, і виявлення загрози можливе виключно за умови ретельного аналізу швидкості та характеру виконання дій після входу в систему.

Інший показовий приклад — зловживання довіреними розширеннями за допомогою компрометації OAuth. У випадках із сервісами аналітики компанії самостійно надають широкі привілеї стороннім додаткам для оптимізації робочих процесів. Коли інфраструктуру цих вендорів зламують, кіберзлочинці отримують токени з високим рівнем доступу, діючи від імені довіреного внутрішнього ресурсу компанії. В обох випадках кінцевий успіх залежить від того, чи зможе система безпеки зреагувати на нетипові дії “перевірених” користувачів.

Базові рекомендації щодо кібергігієни залишаються необхідними, проте сучасні атаки спроєктовані саме для обходу цих перешкод. Компанія Vectra AI акцентує увагу на тому, що традиційні інструменти виявлення не втратили своєї ефективності — вони скоріше є неповними, оскільки фокусуються виключно на подіях до успішної автентифікації. Сучасні архітектури, що базуються на концепції Zero Trust, вимагають постійного нагляду за тим, чи відповідають поточні дії встановленому профілю користувача.

Спеціалізовані рішення від Vectra AI дозволяють виявляти активність кіберзловмисників вже після успішного входу в систему, працюючи у сліпій зоні, яку залишають класичні системи захисту. Кросплатформний аналіз автоматично корелює дані між різними середовищами, перетворюючи розрізнені дозволені події на чіткий ланцюг підозрілої активності. Це дає змогу оперативно ізолювати загрозу до початку ексфільтрації критичних даних.

Підсумовуючи, варто зазначити, що фокусування на конкретних угрупованнях чи окремих індикаторах є концептуальною помилкою. Стратегічна цінність сучасного захисту полягає у зміні моделі довіри: успішна автентифікація більше не гарантує безпеки операцій. Справжньою лінією оборони стає здатність виявляти поведінкові аномалії в реальному часі.

iIT Distribution є офіційним дистриб’ютором рішень Vectra AI та забезпечує партнерів і замовників експертною підтримкою на всіх етапах реалізації безпекових проєктів. Команда iITD допомагає з підбором оптимальних інструментів для поведінкового аналізу, розробляє архітектуру рішень відповідно до концепції Zero Trust та проводить аудит стійкості корпоративних SaaS-середовищ. Фахівці компанії стають надійним продовженням команди партнера, забезпечуючи висококваліфікований супровід від первинної оцінки потреб до повноцінного впровадження систем протидії кіберзагрозам.