Mandiant Ungkap Cara ShinyHunters Menyalahgunakan SSO untuk Mencuri Data Cloud

Perusahaan intelijen keamanan Mandiant mengungkap gelombang serangan pencurian data SaaS yang dilakukan oleh kelompok pemerasan ShinyHunters, dengan memanfaatkan voice phishing (vishing) dan situs phishing bermerek perusahaan untuk mencuri kredensial single sign-on (SSO) beserta kode multi-factor authentication (MFA).

Modus vishing + phishing bermerek

Dalam kampanye ini, penyerang menyamar sebagai staf IT/helpdesk, menelepon karyawan, lalu mengklaim ada perubahan atau pembaruan pengaturan MFA. Korban kemudian diarahkan ke portal login palsu yang tampak seperti milik perusahaan.
Menurut Okta, kit phishing yang digunakan cukup canggih—penyerang bisa berinteraksi real-time selama panggilan berlangsung, meneruskan kredensial yang dicuri, memicu tantangan MFA yang sah, dan mengarahkan korban untuk menyetujui push atau memasukkan OTP.

Hasilnya, penyerang berhasil login dan bahkan mendaftarkan perangkat MFA mereka sendiri, sehingga akses bisa dipertahankan.

SSO jadi “springboard” ke data cloud

Begitu akun dikuasai, penyerang masuk ke dashboard SSO seperti Microsoft Entra (juga Okta atau Google SSO). Dashboard ini bertindak sebagai hub terpusat yang menampilkan seluruh aplikasi SaaS yang boleh diakses akun korban—mulai dari Salesforce (target utama ShinyHunters), Microsoft 365/SharePoint, DocuSign, Slack, Atlassian, Dropbox, hingga Google Drive.
Satu akun SSO yang kompromi berarti akses luas ke data cloud.

Klaster ancaman & bukti log

Mandiant melacak aktivitas ini pada beberapa klaster:

• UNC6661: melakukan vishing, mencuri SSO+MFA, lalu mendaftarkan MFA baru. Pencurian data bersifat oportunistik sesuai izin akun.
• UNC6240 (ShinyHunters): mengirim tuntutan pemerasan dan mengoperasikan situs kebocoran data.
• UNC6671: teknik mirip, namun identitas pemerasan berbeda dan taktik tekanan lebih agresif.

Contoh artefak yang diamati Mandiant:

• Microsoft 365/SharePoint: unduhan massal dengan User-Agent PowerShell (indikasi skrip/alat otomatis).
• Salesforce: login dari IP yang kemudian teridentifikasi milik penyerang.
• DocuSign: audit log menunjukkan unduhan dokumen dalam jumlah besar.
• Google Workspace: aktivasi add-on ToogleBox Recall untuk mencari dan menghapus email, termasuk notifikasi “Security method enrolled” dari Okta—diduga untuk menutupi jejak pendaftaran MFA baru.

Pola domain & infrastruktur

Domain phishing sering meniru portal perusahaan, misalnya:

• SSO: <perusahaan>sso[.]com, my-<perusahaan>sso[.]com
• Internal: <perusahaan>internal[.]com
• Support/Helpdesk: support-<perusahaan>[.]com
• IdP: <perusahaan>okta[.]com, <perusahaan>azure[.]com

Banyak IP terkait kampanye ini berasal dari VPN komersial dan residential proxy (mis. Mullvad, Oxylabs, NetNut, dll.).

Rekomendasi pertahanan

Mandiant menyarankan prioritas berikut:

1. Hardening identitas: beralih ke phishing-resistant MFA (passkeys/FIDO2), kebijakan pendaftaran MFA yang ketat.
2. Deteksi perilaku:
   • Kompromi SSO diikuti eksfiltrasi data cepat dari SaaS
   • Akses SharePoint/OneDrive dengan PowerShell User-Agent
   • Otorisasi OAuth tak terduga (mis. ToogleBox Recall)
   • Penghapusan email notifikasi MFA
3. Logging & respons: pantau anomali API, zona jaringan, dan pembatasan akses tenant.

Mandiant juga merilis panduan hardening, logging, dan deteksi, termasuk rules untuk Google SecOps, agar organisasi bisa menemukan aktivitas pasca-vishing sebelum data sempat dicuri.