- 27,751
- 46
- 8 Ноя 2022
Klue привлекла CrowdStrike к расследованию и заявила об удалении вредоносного кода.
По меньшей мере пять компаний, занимающихся информационной безопасностью, стали жертвами кражи данных из Salesforce после взлома инфраструктуры Klue. Среди пострадавших оказались Huntress, ReliaQuest, Recorded Future, Jamf и Tanium. Об утечке также сообщили Sprout Social, Gong и Insurity, сообщает BleepingComputer .
Klue обнаружила несанкционированную активность 12 июня. Хакеры проникли в инфраструктуру платформы через скомпрометированные устаревшие учетные данные, связанные с сервисом интеграции. Получив доступ, атакующие похитили OAuth-токены, с помощью которых клиенты подключали Klue к сторонним сервисам, включая Salesforce. Затем злоумышленники получили доступ к нескольким клиентским средам, сообщила Klue .
Компания заявила, что атака затронула внешние интеграции. Признаков доступа к контенту, который клиенты хранят непосредственно на платформе Klue, расследование пока не обнаружило. Klue отозвала скомпрометированные учетные данные и токены, удалила несанкционированный код, отключила часть интеграций, уведомила правоохранительные органы и привлекла CrowdStrike.
OAuth-токены позволяют сервисам подключаться к корпоративным системам без постоянного ввода пароля. Злоумышленники использовали похищенные токены для входа в аккаунты Salesforce и выгружали записи из CRM через API. Специалисты ReliaQuest зафиксировали работу автоматических скриптов почти в течение суток. В одной из клиентских сред скрипты отправили около тысячи запросов к Salesforce за 15 минут.
Huntress сообщила о краже деловых контактов, коммерческих предложений, переписки с клиентами и других записей Salesforce. Компания не нашла признаков доступа к данным об угрозах, паролям, платежной информации и инженерным системам. Почти все известные пострадавшие заявили, что атака не затронула собственные платформы, внутреннюю инфраструктуру и платежные данные.
Группировка Icarus взяла на себя ответственность за взлом и предложила Klue и пострадавшим компаниям связаться через мессенджер Session, чтобы предотвратить публикацию похищенных данных. Huntress связала атаку с Icarus по идентификаторам Session из писем с вымогательством и записей на сайте утечек. Компании предупредили, что похищенные контакты могут использовать для фишинга, социальной инженерии и новых требований выкупа.
Salesforce отключила интеграцию Klue Battlecards на время расследования. Компания подчеркнула, что доступ к данным возник через подключение Klue, а не из-за уязвимости Salesforce.
По меньшей мере пять компаний, занимающихся информационной безопасностью, стали жертвами кражи данных из Salesforce после взлома инфраструктуры Klue. Среди пострадавших оказались Huntress, ReliaQuest, Recorded Future, Jamf и Tanium. Об утечке также сообщили Sprout Social, Gong и Insurity, сообщает BleepingComputer .
Klue обнаружила несанкционированную активность 12 июня. Хакеры проникли в инфраструктуру платформы через скомпрометированные устаревшие учетные данные, связанные с сервисом интеграции. Получив доступ, атакующие похитили OAuth-токены, с помощью которых клиенты подключали Klue к сторонним сервисам, включая Salesforce. Затем злоумышленники получили доступ к нескольким клиентским средам, сообщила Klue .
Компания заявила, что атака затронула внешние интеграции. Признаков доступа к контенту, который клиенты хранят непосредственно на платформе Klue, расследование пока не обнаружило. Klue отозвала скомпрометированные учетные данные и токены, удалила несанкционированный код, отключила часть интеграций, уведомила правоохранительные органы и привлекла CrowdStrike.
OAuth-токены позволяют сервисам подключаться к корпоративным системам без постоянного ввода пароля. Злоумышленники использовали похищенные токены для входа в аккаунты Salesforce и выгружали записи из CRM через API. Специалисты ReliaQuest зафиксировали работу автоматических скриптов почти в течение суток. В одной из клиентских сред скрипты отправили около тысячи запросов к Salesforce за 15 минут.
Huntress сообщила о краже деловых контактов, коммерческих предложений, переписки с клиентами и других записей Salesforce. Компания не нашла признаков доступа к данным об угрозах, паролям, платежной информации и инженерным системам. Почти все известные пострадавшие заявили, что атака не затронула собственные платформы, внутреннюю инфраструктуру и платежные данные.
Группировка Icarus взяла на себя ответственность за взлом и предложила Klue и пострадавшим компаниям связаться через мессенджер Session, чтобы предотвратить публикацию похищенных данных. Huntress связала атаку с Icarus по идентификаторам Session из писем с вымогательством и записей на сайте утечек. Компании предупредили, что похищенные контакты могут использовать для фишинга, социальной инженерии и новых требований выкупа.
Salesforce отключила интеграцию Klue Battlecards на время расследования. Компания подчеркнула, что доступ к данным возник через подключение Klue, а не из-за уязвимости Salesforce.
- Источник новости
- www.securitylab.ru
