Pelanggaran Klue OAuth terkait dengan serangan pencurian data Salesforce ‘Icarus’

Platform intelijen pasar Klue mengalami pelanggaran OAuth yang memungkinkan pelaku ancaman “Icarus” mencuri data CRM Salesforce dari beberapa organisasi dalam kampanye pemerasan yang sedang berlangsung.

Sumber mengatakan kepada BleepingComputer tentang serangan kemarin, memberi tahu kami bahwa banyak organisasi yang data Salesforce mereka dicuri dan sekarang diperas oleh kelompok pemerasan yang relatif baru.

Perusahaan keamanan siber ReliaQuest dan Huntress telah menerbitkan laporan yang mengonfirmasi insiden keamanan tersebut, dengan Huntress menyatakan bahwa data Salesforce mereka dicuri dalam serangan tersebut.

Salesforce telah menonaktifkan integrasi Klue Battlecards pada platformnya sementara pelanggaran tersebut diselidiki.

“Untuk melindungi pelanggan kami, Salesforce telah menonaktifkan koneksi antara aplikasi Klue Battlecards, yang dipasang oleh pelanggan individu, dan Salesforce sebagai bagian dari respons kami terhadap insiden keamanan baru-baru ini,” Salesforce memperingatkan kemarin.

Akibatnya, organisasi tidak akan dapat terhubung ke Salesforce melalui aplikasi ini hingga pemberitahuan lebih lanjut.

Jika Anda memiliki informasi mengenai insiden ini atau serangan lain yang dirahasiakan, Anda dapat menghubungi kami secara rahasia melalui Signal di 646-961-3731 atau di tips@bleepingcomputer.com.

Kredensial OAuth yang dicuri digunakan untuk mencuri data Salesforce

Pencarian Relia menyatakan bahwa penyerang memperoleh akses ke akun layanan integrasi Klue Battlecards dan menggunakan token OAuth yang terkait dengan instance Salesforce pelanggan untuk melakukan pencurian data.

Para peneliti mengamati pelaku ancaman menghasilkan token OAuth dan kemudian menggunakan skrip Python otomatis untuk menanyakan REST API Salesforce selama hampir 24 jam.

Aktivitas dimulai dengan pengintaian terhadap instans Salesforce organisasi melalui titik akhir ‘/services/data/v59.0/sobjects’ sebelum mengambil data menggunakan ‘/services/data/v59.0/query’.

ReliaQuest mengatakan bahwa di salah satu organisasi, penyerang secara perlahan memetakan objek Salesforce mereka untuk mengidentifikasi objek berharga dan kemudian dengan cepat mencuri data setelah mereka mengetahui apa yang mereka inginkan.

“Penyerang kemudian mencapai titik akhir yang sama, mengirimkan hampir seribu pertanyaan dalam waktu 15 menit di setidaknya satu lingkungan,” jelas ReliaQuest.

“Jika tahap pertama merupakan tarikan yang lambat dan stabil yang dirancang untuk menyatu, ledakan ini menggantikan kecepatan secara diam-diam, menunjukkan adanya tekanan waktu atau pergeseran ke rekaman yang ditargetkan. Dalam kasus lain, eksfiltrasi diamati selama 6 jam.”

Para peneliti mengatakan aktivitas tersebut sangat mirip dengan aktivitas sebelumnya Serangan pencurian data integrasi pihak ketiga Salesforce oleh Kelompok pemerasan ShinyHunternamun tidak dapat mengaitkan serangan tersebut dengan pelaku ancaman.

Namun, BleepingComputer kemarin mengetahui bahwa ShinyHunters bukanlah dalang serangan ini, melainkan aktor ancaman yang relatif baru yang dikenal sebagai “Icarus” yang sudah mulai mengirimkan email tuntutan pemerasan kepada pelanggan Klue yang terkena dampak pelanggaran tersebut.

Catatan tebusan yang dibagikan dengan BleepingComputer menunjukkan bahwa email tersebut dikirim menggunakan alias “mr bean” dan menyertakan ID Session Messenger untuk menghubungi mereka.

Situs kebocoran data pelaku ancaman juga memuat pesan yang mengisyaratkan kampanye pemerasan dalam postingan sederhana berjudul “Bersiaplah”, yang menyatakan, “korps besar akan terdaftar. bersiaplah.”

Icarus diyakini telah diluncurkan pada bulan April 2026, dan awalnya mencantumkan dua korban di situs kebocorannya, dan BleepingComputer mengetahui bahwa setidaknya satu dari korban ini terkait dengan kampanye Klue. Perusahaan tersebut kini telah dihapus dari situs kebocoran data, yang mungkin mengindikasikan bahwa negosiasi sedang berlangsung.

Hari ini, Huntress mengungkapkan bahwa mereka termasuk di antara organisasi yang terkena dampak pelanggaran Klue, membenarkan bahwa mereka telah menerima email pemerasan serupa seperti yang dilihat oleh BleepingComputer. Namun, ID Sesi yang digunakan dalam email selanjutnya berbeda dan merupakan ID Sesi yang terdaftar di situs kebocoran data Icarus, memberikan bukti tambahan bahwa mereka berada di balik serangan tersebut.

“Dalam email awal, musuh menyarankan, ‘kami menyarankan Anda untuk menulis surat kepada kami di Sesi’ (sic),” lapor Pemburu.

“ID Session Messenger yang mereka berikan cocok dengan nilai yang sama yang disertakan di situs kebocoran web gelap milik kelompok pemerasan baru yang dijuluki ‘Icarus.’”

Menurut Huntress, Klue memberi tahu pelanggan bahwa penyerang pertama-tama menyusupi sistem backend perusahaan dan kemudian mendorong pembaruan kode berbahaya yang mencuri token OAuth yang digunakan pelanggan untuk mengintegrasikan produk Battlecards dengan platform pihak ketiga.

Para penyerang dilaporkan menggunakan kredensial yang tidak aktif namun masih aktif yang dibuat oleh Klue untuk integrasi prototipe. Setelah mendapatkan akses ke lingkungan Klue, mereka mencuri token OAuth pelanggan dan menggunakannya untuk menanyakan lingkungan Salesforce yang terhubung secara langsung.

Klue kemudian menonaktifkan integrasi dengan Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive, dan Slack saat merespons insiden tersebut.

Huntress mengatakan data yang dicuri mencakup informasi terkait CRM, termasuk kontak bisnis, komunikasi penjualan, penawaran harga, laporan intelijen kompetitif, dan data akun.

Perusahaan keamanan siber mengatakan tidak ada bukti bahwa intelijen ancaman, telemetri pelanggan, kata sandi, informasi kartu pembayaran, atau sistem rekayasa telah disusupi.

Baik ReliaQuest dan Huntress berbagi alamat IP yang terkait dengan serangan tersebut, yang tercantum di bawah ini:

  138.226.246.94  212.86.125.24  213.111.148.90  94.154.32.160

Organisasi yang menggunakan integrasi Klue disarankan untuk meninjau Salesforce dan log SaaS terkait untuk aktivitas yang berasal dari alamat ini, mencabut dan merotasi token OAuth, menghentikan sesi aktif, dan meninjau log Salesforce untuk aktivitas API yang tidak biasa.