Icarus grupa preuzima odgovornost za napad na Klue i pristup podacima Salesforce korisnika
Icarus grupa potvrđuje napad na Klue i pristup podacima Salesforce korisnika kroz украđene OAuth tokene.
Šta se desilo?
Platforma za tržišnu analitiku Klue je potvrđena žrtva napada u kojem su napadači украli OAuth tokene koji omogućavaju pristup Salesforce okruženjima njenih klijenata. Grupa zvana Icarus sada javno preuzima odgovornost za incident, zajedno sa kompanijama kao što su Recorded Future, Tanium, Jamf i druge koje su bilo pogođene.
Kako je do napada došlo?
Istraga koju je sprovela kompanija Klue u saradnji sa CrowdStrike pokazala je da su napadači pristupili preko kompromitovanih starijih kredencijala povezanih sa Klue integracijskih servisa. Koristeći украдене OAuth tokene, napadači su se povezali na Salesforce okruženja korisnika gde su uz pomoć Python skripti preuzeli veće količine poslovnih podataka tokom dužeg vremenskog perioda.
Koga pogađa?
Direktno su pogođene sve kompanije koje su koristile Klue integracijske servise za povezivanje sa Salesforce platformom. Do sada potvrđeni žrtve uključuju nekoliko poznatih organizacija u sektoru tehnologije, bezbednosti i poslovanja. Ukrađeni podaci obuhvataju poslovne kontakte, email komunikaciju, informacije o cenama i druge klijentske zapise dostupne kroz Salesforce.
Kako se zaštititi?
- Pregledate sve Salesforce API pristupe i aktivnosti iz neobičnih izvora, posebno Python skripti
- Resetujte OAuth tokene i integracijske kredencijale vezane za Klue i slične servise
- Ojačajte autentifikaciju sa multi-faktorskim merama za sve integracijske servise
- Pregledate logovane pristupe Salesforce okruženju iz juna i kasnije
- Obavestite zaposlene o mogućim phishing i social engineering napadima koristeći украđene poslovne kontakte
- Nadzrite eksterno dostupne podatke i dark web lokacije za pojavu ukrađenih informacija
Tehnički detalji
Napadači su koristili kompromitovane legacy kredencijale da bi pristupili integracijskoj infrastrukturi Klue-a. Primarni vektor napada je bio kroz OAuth tokens generisane za tretmane prema Salesforce API. Huntress je detaljno dokumentovao kako su napadači koristili Python skripte za sistematsku ekstrakciju podataka iz Salesforce instanci tokom duljih vremenskih perioda. Icarus grupa je sve žrtve kontaktirala kroz Session messaging platformu sa zahtevima za plaćanje kako bi sprečila objavljivanje украđenih podataka.
Preporuka Sajber Radara
Sve organizacije koje koriste Klue ili bilo koje tretmane integracije sa Salesforce trebalo bi da hitno pregledaju pristupe i resetuju credentials. Posebnu pažnju obratite na bilo koju neobičnu aktivnost iz juna i kasnije, jer je dati napadu trebalo vreme da se ekspandira. Razmotriti treba i zatvaranje OAuth token-a i omogućavanje mikro-autentifikacije na nivou integracija.
