ShinyHunters lạm dụng OAuth: Microsoft Defender phát hiện tấn công SaaS thế nào?

ShinyHunters trở lại tâm điểm an ninh mạng khi Microsoft Threat Intelligence ghi nhận một loạt chiến dịch — trải từ giữa năm 2025 đến giữa năm 2026 — dùng thủ đoạn gắn với nhóm này để tấn công các ứng dụng SaaS như Salesforce. Điểm đáng chú ý: kẻ tấn công không khai thác lỗ hổng của nền tảng, mà lạm dụng quan hệ OAuth tin cậy để truy cập trái phép, đánh cắp dữ liệu và duy trì hiện diện lâu dài. Bài viết phân tích chuỗi tấn công và cách Microsoft Defender for Cloud Apps nâng cấp năng lực phát hiện, quản trị.
ShinyHunters là ai và vì sao chiến dịch này nguy hiểm?
ShinyHunters là tên gắn với các hoạt động chuyên đánh cắp và rao bán dữ liệu doanh nghiệp. Trong các chiến dịch mới, thủ đoạn gồm gọi điện lừa đảo (vishing), tấn công chuỗi cung ứng và lợi dụng cấu hình guest access sai. Vì kẻ tấn công hoạt động qua danh tính hợp lệ, ứng dụng OAuth đã được phê duyệt và tích hợp được ủy quyền, hành vi độc hại gần như không phân biệt được với lưu lượng Salesforce bình thường. Các phát hiện dựa trên xác thực truyền thống vì thế thường bỏ lọt.
Microsoft ghi nhận hoạt động này ở nhiều tenant thuộc bán lẻ, giáo dục và sản xuất. Một điểm khởi đầu duy nhất có thể nhanh chóng lan thành tác động lớn cho toàn doanh nghiệp — bài học cốt lõi về rủi ro của các connected app và danh tính phi con người (non-human identity).


Hai hướng xâm nhập chính
1. Vishing lừa người dùng đồng ý OAuth
Từ giữa năm 2025, kẻ tấn công gọi điện giả danh nhân viên IT support, dẫn dắt người dùng qua luồng đồng ý OAuth để cấp quyền cho một ứng dụng độc hại giả dạng công cụ Salesforce Data Loader hợp pháp. Sau khi được đồng ý, ứng dụng OAuth đặc quyền cao cho phép kẻ tấn công gọi API thay mặt nạn nhân, từ đó liệt kê dữ liệu Salesforce, truy cập bền vững vào CRM và có thể dịch chuyển ngang sang các nền tảng SaaS khác. Hướng này khai thác chính luồng ủy quyền của dịch vụ tin cậy, không cần malware hay phát lại thông tin đăng nhập.
2. Tấn công chuỗi cung ứng SaaS
Kế đó, kẻ tấn công leo thang sang tấn công nhà cung cấp SaaS bên thứ ba tích hợp với Salesforce qua OAuth token. Tháng 8/2025, thông tin đăng nhập Salesloft Drift bị lộ giúp lấy được các connection secret của ứng dụng hạ nguồn. Tháng 11/2025, chiến dịch nhắm vào ứng dụng do Gainsight phát hành. Gần hơn, tháng 6/2026, nền tảng Klue gặp sự cố khi nhóm Storm-3138 xâm nhập hệ thống. Trong mọi trường hợp, các truy vấn hàng loạt và trích xuất dữ liệu CRM diễn ra gần như không tạo bất thường đăng nhập, trông giống hành vi tích hợp hợp lệ.
Chi tiết kỹ thuật, IOC và truy vấn hunting được Microsoft công bố đầy đủ trong bài phân tích của Microsoft Threat Intelligence.

Microsoft Defender for Cloud Apps nâng cấp thế nào?
Từ dữ liệu điều tra, Microsoft đã phối hợp với Salesforce để tăng độ chi tiết telemetry cho Microsoft Defender for Cloud Apps. Với khách hàng dùng Salesforce Shield: Event Monitoring, đầu nối (connector) Salesforce nâng cấp sẽ tích hợp khung Real-Time Event Monitoring (RTEM), giúp phát hiện và điều tra nhanh hơn.

Các năng lực mới nổi bật gồm:
- Hiển thị gần thời gian thực sự kiện bảo mật và hoạt động Salesforce.
- Quy kết connected app: định danh ứng dụng và các OAuth scope được cấp.
- Ngữ cảnh mở rộng về danh tính, phiên và hoạt động API để phục vụ điều tra.
- Ứng dụng đặc quyền cao: làm nổi bật app được cấp scope nhạy cảm để rà soát nhanh.
- Ứng dụng không dùng: phát hiện app đã im lặng 90 ngày trở lên để thu hồi quyền.
- Chấm điểm rủi ro 0–100 cho từng connected app dựa trên mẫu sử dụng, độ nhạy quyền và tín hiệu hành vi; cho phép tạo chính sách theo ngưỡng.
Nhờ tương quan trong Microsoft Defender, đội bảo mật có thể nhận diện hoạt động OAuth đáng ngờ trải khắp danh tính, ứng dụng và môi trường SaaS. Khách hàng có quyền cũng dùng được Microsoft Security Copilot trong Defender để điều tra, săn mối đe dọa và phản ứng sự cố. Tham khảo hướng dẫn kết nối tại Microsoft Learn.
Chuỗi kỹ thuật theo MITRE ATT&CK
| Giai đoạn | Kỹ thuật (ATT&CK) | Mô tả |
|---|---|---|
| Initial Access | T1566.004 | Vishing, giả danh IT support để lừa cấp quyền. |
| Initial Access | T1528 | Đánh cắp OAuth token từ Salesloft và Gainsight. |
| Persistence | T1671 | Lợi dụng Connected App để duy trì truy cập. |
| Collection | T1213.004 | Lấy dữ liệu từ hệ CRM (Salesforce). |
| Exfiltration | T1567 | Trích xuất dữ liệu qua dịch vụ web (Data Loader giả). |

Doanh nghiệp nên làm gì ngay?

Microsoft khuyến nghị các biện pháp giảm thiểu sau — hãy đối chiếu với thẻ khuyến nghị để biết trạng thái triển khai:
- Giám sát ứng dụng OAuth: rà soát định kỳ connected app và các scope đã cấp.
- Kiểm định tích hợp bên thứ ba: xác thực tính hợp lệ trước khi cho phép truy cập.
- Rà soát cấu hình: siết guest access và quyền của ứng dụng đặc quyền cao.
- Bật Salesforce Event Monitoring và kết nối vào Defender for Cloud Apps.
- Thu hồi ứng dụng không dùng đã im lặng dài ngày để giảm bề mặt tấn công.
- Đào tạo nhận thức vishing: nhân viên không cấp quyền OAuth theo hướng dẫn qua điện thoại.
Kết luận
Chiến dịch ShinyHunters cho thấy quản trị danh tính phi con người và connected app OAuth đã trở thành mặt trận bảo mật SaaS trọng yếu. Các năng lực posture mới của Microsoft Defender for Cloud Apps giúp doanh nghiệp nhìn rõ, chấm điểm rủi ro và thu hẹp bề mặt tấn công trước khi một điểm xâm nhập lan rộng. Để cập nhật thêm kiến thức bảo mật Microsoft cho doanh nghiệp Việt, hãy theo dõi Office365Vietnam.info.
