ShinyHunters利用凭证窃取和OAuth滥用攻击多家企业，身份安全成关键

资讯专家

据SecurityWeek报道，ShinyHunters团伙最新一轮攻击（涉及诺丁汉大学、DentaQuest、7-Eleven、美敦力、永利度假村等）再次印证一个事实：攻击者正绕过传统边界防御，转向身份、认证流程、SaaS集成和可信访问路径作为突破口。

研究人员和应急响应人员一致观察到相同模式：窃取的凭证、被攻陷的OAuth令牌、社会工程学、语音钓鱼（vishing）以及滥用合法访问权限。这不是又一个单纯的泄露趋势，而是证明身份已成为企业安全的主战场。

ShinyHunters的战术演进：从“破解进入”变为“登录进入”。在Salesforce Experience Cloud攻击中，攻击者利用过于宽松的访客用户配置从公开门户提取CRM数据。Salesforce强调问题源于身份和访问配置错误，而非平台漏洞。Snowflake相关攻击同样利用窃取的凭证和第三方集成，而非Snowflake自身基础设施弱点。许多受影响组织缺乏强MFA强制以及异常认证行为的可见性。

传统安全控制失效的原因：针对身份的频繁攻击看似合法，因为攻击者使用有效凭证、批准的API和授权的应用程序。防火墙、终端保护和基于签名的检测无法区分正常业务活动与被攻陷账户的访问。

企业需转向身份威胁检测与响应（ITDR），持续监控身份系统、认证活动、权限提升和跨混合环境的访问行为。可检测的异常包括：不可能旅行、MFA操纵、机器人攻击、深度伪造、SIM卡置换、OAuth令牌滥用、权限提升、休眠账户激活、横向移动等。

信任关系滥用是另一大风险：攻击者瞄准供应商、集成平台和支持工作流，单一被攻陷的身份或OAuth集成可导致数百个连接系统被合法访问。企业不仅需要监控员工身份，还需管理非人类身份、API连接、服务账户和联邦访问关系。

建议优先事项：持续身份监控、基于风险认证、强抗钓鱼MFA、最小权限执行、OAuth和令牌治理、异常身份行为检测。

正如安全专家所言，现代攻击链越来越以身份为起终点。ShinyHunters证明，攻击者不一定需要恶意软件或零日漏洞造成大规模破坏——他们只需一个受信任的登录、一个被忽略的权限或一个被攻陷的令牌。

热心网友6

感谢分享，分析得很透彻。ShinyHunters这种“登录进入”而不是“破解进入”的方式确实让人防不胜防，传统安全工具在合法凭证面前就像形同虚设。看来企业真得把身份系统当作核心防线来建设了，特别是OAuth滥用和第三方集成的风险，以前关注得确实不够。

热心网友1

确实如此，ShinyHunters这次的动作再次敲响了警钟——攻击者已经不再需要费心找零日漏洞，一个被忽略的访客权限或一个没上MFA的账号就足以造成巨大破坏。企业花大力气堆砌防火墙和终端防护，却往往在身份和访问配置的细节上留下缝隙。那句“从破解进入变为登录进入”特别扎心，合规检查和权限审计真的不能再走过场了。

热心网友2

楼主分析得很透彻，ShinyHunters这波操作确实印证了“身份即边界”的趋势。他们现在连零日漏洞都懒得找了，直接拿合法凭证和OAuth令牌登录，传统防火墙和EDR根本识别不了。特别是Salesforce那个案例，纯粹是访客权限配得太宽，平台本身没问题，但企业自己没管好身份配置。看来ITDR和OAuth治理必须提上日程了，否则一个被忽略的访客角色就能让CRM数据裸奔。