En ny analyse fra Cato Networks viser, hvordan hackergruppen ShinyHunters bruger stjålne OAuth-tokens til at få adgang til cloud-tjenester som Salesforce og Snowflake.
Angrebene kræver ikke malware, og derfor kan de være svære at opdage med traditionel antivirus.
ShinyHunters har været aktiv siden 2020 og er sat i forbindelse med en lang række datalæk. Selvom både FBI og franske myndigheder har gennemført aktioner mod gruppen, beslaglagt servere og anholdt nøglepersoner, fortsætter aktiviteten.
Ifølge Cato Networks skyldes det blandt andet måden, gruppen arbejder på. I 2025 gik ShinyHunters sammen med Scattered Spider og LAPSUS$ i alliancen Scattered LAPSUS$ Hunters. Her bidrager de enkelte grupper med hver deres speciale, og fordi der ikke er én central ledelse at ramme, er netværket svært at stoppe med klassisk politiarbejde.
Sådan kommer hackerne ind
Angrebene rammer cloud-tjenester som Salesforce og Snowflake. I en af de kampagner, Cato Networks har kortlagt, ringede hackerne til virksomheders it-support og udgav sig for at være interne medarbejdere. På den måde narrede de sig til adgang uden først at skulle bryde ind i et system.
Når hackerne først har fået fat i et gyldigt OAuth-token, kan de overtage den adgang, som tokenet giver.
“Når en hacker får fat i et OAuth-token fra en betroet cloud-integration, kan trafikken ligne helt almindelig brugeraktivitet. Der er ingen malware, antivirus kan finde, og ofte heller ingen mislykkede loginforsøg, der udløser en alarm. Det er netop derfor, den type adgang kan være så svær at opdage,” siger Vitaly Simonovich, senior sikkerhedsforsker hos Cato Networks.
Cato anbefaler hardwarebaseret login
Cato Networks anbefaler, at virksomheder styrker sikkerheden ved deres cloud-adgange. Det handler blandt andet om at bruge hardwarebaseret to-faktor-godkendelse som FIDO2, overvåge nye OAuth-forbindelser i realtid og træne it-supporten i at spotte svindelopkald.
“Det her begynder ofte med et opkald til it-supporten. Derfor er det ikke nok kun at tale om stærkere teknologi. Virksomheder skal også træne de medarbejdere, der kan blive brugt som indgang, og holde langt bedre øje med nye forbindelser til deres cloud-miljøer,” siger Vitaly Simonovich.
Om Cato Networks
Cato Networks er en global leverandør af SASE og AI-sikkerhed. Virksomhedens platform samler netværk, sikkerhed og adgang i én løsning, der bruges af tusindvis af kunder verden over, heriblandt flere børsnoterede danske selskaber. Platformen kan tages i brug modulært og skaleres efter behov.
