- 27,721
- 46
- 8 Ноя 2022
Huntress, Recorded Future, Tanium, Jamf — список пострадавших только растёт…
Платформа анализа рынка Klue подтвердила взлом части инфраструктуры интеграций. Злоумышленники получили OAuth токены , цифровые ключи для доступа между сервисами, и с их помощью проникли в учетные среды Salesforce нескольких клиентов. Группа вымогателей Icarus взяла ответственность за атаку и потребовала связаться с ней через мессенджер Session, чтобы предотвратить публикацию украденных данных.
Подозрительную активность обнаружили 12 июня. Расследование показало, что атакующие использовали скомпрометированные старые учетные данные, связанные с сервисом интеграций Klue. Доступ позволил получить токены OAuth для подключения к сторонним платформам, включая Salesforce, а затем изучить и скопировать данные из ряда клиентских аккаунтов.
Klue заявила, что не нашла признаков доступа к информации, которая хранится непосредственно на платформе. Атака затронула только сторонние интеграции. Компания отозвала скомпрометированные учетные данные и токены, удалила несанкционированный код, отключила затронутые подключения, начала внутреннее расследование и уведомила правоохранительные органы. К разбору инцидента также привлекли специалистов CrowdStrike.
Первые признаки массовой кражи данных заметили специалисты по кибербезопасности, которые расследовали работу интеграций Klue Battlecards. Нападающие использовали похищенные учетные данные OAuth для доступа к Salesforce клиентов Klue. Затем злоумышленники создавали новые токены доступа и часами отправляли запросы к программному интерфейсу Salesforce через скрипты на Python, выгружая большие объемы информации.
Среди пострадавших оказалась компания Huntress. Из ее Salesforce украли деловые контакты, переписку отдела продаж, сведения о ценах и другие записи. Позднее о затронутых учетных средах Salesforce сообщили Recorded Future, Tanium, Jamf, Sprout Social, Gong и Insurity.
Почти все организации указывают, что утечка ограничилась данными из Salesforce. Собственные платформы, внутренняя инфраструктура, платежная информация и основные корпоративные системы не пострадали. Однако в выгруженных записях могли находиться имена, рабочие адреса электронной почты, телефоны, детали переговоров и коммерческие сведения.
Icarus публично заявила, что похитила данные не только Klue, но и нескольких компаний, связанных с платформой. До появления заявления группировку уже связывали с атакой по письмам с требованиями выкупа, которые получили пострадавшие организации. Связь подтвердили через идентификаторы в Session и сайт Icarus для публикации украденных данных.
Компании предупреждают клиентов и партнеров о риске последующих фишинговых писем , звонков от имени сотрудников, попыток социальной инженерии и новых требований выкупа. Сведения из Salesforce позволяют злоумышленникам составлять убедительные сообщения: упоминать реальные сделки, контакты коллег, цены, названия продуктов и этапы переговоров.
Платформа анализа рынка Klue подтвердила взлом части инфраструктуры интеграций. Злоумышленники получили OAuth токены , цифровые ключи для доступа между сервисами, и с их помощью проникли в учетные среды Salesforce нескольких клиентов. Группа вымогателей Icarus взяла ответственность за атаку и потребовала связаться с ней через мессенджер Session, чтобы предотвратить публикацию украденных данных.
Подозрительную активность обнаружили 12 июня. Расследование показало, что атакующие использовали скомпрометированные старые учетные данные, связанные с сервисом интеграций Klue. Доступ позволил получить токены OAuth для подключения к сторонним платформам, включая Salesforce, а затем изучить и скопировать данные из ряда клиентских аккаунтов.
Klue заявила, что не нашла признаков доступа к информации, которая хранится непосредственно на платформе. Атака затронула только сторонние интеграции. Компания отозвала скомпрометированные учетные данные и токены, удалила несанкционированный код, отключила затронутые подключения, начала внутреннее расследование и уведомила правоохранительные органы. К разбору инцидента также привлекли специалистов CrowdStrike.
Первые признаки массовой кражи данных заметили специалисты по кибербезопасности, которые расследовали работу интеграций Klue Battlecards. Нападающие использовали похищенные учетные данные OAuth для доступа к Salesforce клиентов Klue. Затем злоумышленники создавали новые токены доступа и часами отправляли запросы к программному интерфейсу Salesforce через скрипты на Python, выгружая большие объемы информации.
Среди пострадавших оказалась компания Huntress. Из ее Salesforce украли деловые контакты, переписку отдела продаж, сведения о ценах и другие записи. Позднее о затронутых учетных средах Salesforce сообщили Recorded Future, Tanium, Jamf, Sprout Social, Gong и Insurity.
Почти все организации указывают, что утечка ограничилась данными из Salesforce. Собственные платформы, внутренняя инфраструктура, платежная информация и основные корпоративные системы не пострадали. Однако в выгруженных записях могли находиться имена, рабочие адреса электронной почты, телефоны, детали переговоров и коммерческие сведения.
Icarus публично заявила, что похитила данные не только Klue, но и нескольких компаний, связанных с платформой. До появления заявления группировку уже связывали с атакой по письмам с требованиями выкупа, которые получили пострадавшие организации. Связь подтвердили через идентификаторы в Session и сайт Icarus для публикации украденных данных.
Компании предупреждают клиентов и партнеров о риске последующих фишинговых писем , звонков от имени сотрудников, попыток социальной инженерии и новых требований выкупа. Сведения из Salesforce позволяют злоумышленникам составлять убедительные сообщения: упоминать реальные сделки, контакты коллег, цены, названия продуктов и этапы переговоров.
- Источник новости
- www.securitylab.ru
