Cyberkriminelle nutzten eine kompromittierte OAuth-Integration bei Klue, um auf Kundendaten in Salesforce-Umgebungen zuzugreifen. Ermittler brachten den Vorfall mit der Bedrohungsgruppe Icarus in Verbindung, die im Rahmen einer wachsenden Kampagne für Datendiebstahl und Erpressung mehrere Organisationen ins Visier genommen hat.
Der Angriff verdeutlicht eine zunehmende Herausforderung im Bereich der Cybersicherheit. Anstatt Salesforce direkt anzugreifen, konzentrieren sich Bedrohungsakteure immer häufiger auf vertrauenswürdige Drittanbieter-Anwendungen, die bereits Zugriff auf wertvolle Geschäftsinformationen besitzen. Durch die Kompromittierung dieser Verbindungen können Angreifer viele traditionelle Sicherheitskontrollen umgehen und sensible Unternehmensdaten erreichen.
Angreifer missbrauchten vertrauenswürdigen Salesforce-Zugang
Ermittler stellten fest, dass die Angreifer OAuth-Zugangsdaten missbrauchten, die mit Klues Battlecards-Integration verknüpft waren. Diese Zugangsdaten ermöglichten den Zugriff auf Salesforce-Umgebungen, in denen Kunden ihre CRM-Daten speicherten.
Nachdem die Angreifer die Tokens erlangt hatten, sendeten sie API-Anfragen und sammelten Informationen von den betroffenen Organisationen. Sie mussten Salesforce selbst nicht kompromittieren. Stattdessen nutzten sie eine vertrauenswürdige Verbindung aus, die die Kunden bereits autorisiert hatten.
Forscher erklären, dass diese Methode es Bedrohungsakteuren ermöglicht, schnell vorzugehen und gleichzeitig viele Erkennungsmechanismen zu umgehen. Die Angreifer verließen sich auf legitime Zugangswege anstelle von Malware oder Software-Schwachstellen.
Icarus setzt seine Datendiebstahl-Kampagne fort
Sicherheitsforscher brachten den Vorfall mit Icarus in Verbindung, einem Bedrohungsakteur, der dafür bekannt ist, Organisationen anzugreifen, die cloudbasierte Geschäftsplattformen nutzen. Die Gruppe konzentriert sich darauf, Unternehmensinformationen zu stehlen und Opfer mit Erpressungsforderungen unter Druck zu setzen.
Berichten zufolge erhielten mehrere Opfer Zahlungsforderungen, nachdem die Angreifer Daten extrahiert hatten. Die Kampagne folgt einem Muster, das Forscher bereits bei mehreren Vorfällen mit Salesforce-verbundenen Anwendungen beobachtet haben.
Die Angreifer bevorzugen weiterhin den Diebstahl von Zugangsdaten und den Missbrauch von OAuth, da diese Methoden häufig sofortigen Zugriff auf wertvolle Informationen ermöglichen. Mit der zunehmenden Verbreitung von SaaS-Plattformen ergeben sich für Bedrohungsakteure immer mehr Möglichkeiten, vertrauenswürdige Integrationen auszunutzen.
Drittanbieter-Integrationen schaffen neue Risiken
Der Klue-Vorfall zeigt, wie Drittanbieter-Anwendungen die Angriffsfläche einer Organisation erweitern können. Viele Unternehmen sichern ihre primären Cloud-Plattformen sorgfältig ab, schenken verbundenen Diensten mit ähnlichen Berechtigungen jedoch oft weniger Aufmerksamkeit.
Forscher haben in den vergangenen Monaten vergleichbare Angriffe auf andere Salesforce-Integrationen identifiziert. In jedem Fall griffen die Angreifer eine verbundene Anwendung statt der CRM-Plattform selbst an. Dieser Ansatz ermöglichte ihnen den Zugriff auf Kundendaten über bereits bestehende Vertrauensbeziehungen.
Organisationen setzen häufig Dutzende von Integrationen in ihren Umgebungen ein. Ohne regelmäßige Überprüfungen können diese Verbindungen Sicherheitslücken schaffen, die Angreifer gezielt auszunutzen versuchen.
Organisationen sollten OAuth-Berechtigungen überprüfen
Sicherheitsexperten empfehlen Unternehmen, alle mit Salesforce verbundenen Anwendungen zu überprüfen und Integrationen zu entfernen, die keinen geschäftlichen Zweck mehr erfüllen. Administratoren sollten außerdem OAuth-Berechtigungen kontrollieren und Tokens widerrufen, die Benutzer nicht mehr benötigen.
Organisationen können ihr Risiko zusätzlich senken, indem sie API-Aktivitäten überwachen, ungewöhnliche Datenexporte untersuchen und starke Zugriffskontrollen für verbundene Dienste durchsetzen. Sicherheitsteams sollten Drittanbieter-Integrationen mit derselben Sorgfalt behandeln wie ihre zentralen Geschäftsplattformen.
Da Cloud-Ökosysteme weiter wachsen, werden Angreifer wahrscheinlich weiterhin vertrauenswürdige Verbindungen ins Visier nehmen, die direkten Zugriff auf sensible Informationen ermöglichen.
Fazit
Der Klue-OAuth-Verstoß zeigt, wie Angreifer vertrauenswürdige Integrationen in leistungsfähige Angriffsvektoren verwandeln können. Durch den Diebstahl von OAuth-Tokens verschaffte sich die Icarus-Gruppe Zugriff auf Salesforce-Daten, ohne Salesforce selbst zu kompromittieren. Der Vorfall unterstreicht die Notwendigkeit, verbundene Anwendungen zu überwachen, Berechtigungen regelmäßig zu überprüfen und jede Verbindung innerhalb des Cloud-Ökosystems eines Unternehmens abzusichern.


0 Kommentare zu „Klue-OAuth-Verstoß treibt Kampagne zum Diebstahl von Salesforce-Daten voran“