Cyberkriminelle utnyttet en kompromittert OAuth-integrasjon hos Klue for å få tilgang til kundedata lagret i Salesforce-miljøer. Etterforskere har knyttet hendelsen til trusselgruppen Icarus, som har rettet seg mot flere organisasjoner i en voksende kampanje for datatyveri og utpressing.
Angrepet belyser en økende utfordring innen cybersikkerhet. I stedet for å angripe Salesforce direkte retter trusselaktører seg stadig oftere mot betrodde tredjepartsapplikasjoner som allerede har tilgang til verdifull forretningsinformasjon. Ved å kompromittere disse tilkoblingene kan angriperne omgå mange tradisjonelle sikkerhetskontroller og få tilgang til sensitive bedriftsdata.
Angripere utnyttet betrodd Salesforce-tilgang
Etterforskere oppdaget at angriperne misbrukte OAuth-legitimasjon knyttet til Klues Battlecards-integrasjon. Disse opplysningene ga tilgang til Salesforce-miljøer der kundene lagret CRM-data.
Etter å ha fått tak i tokenene sendte angriperne API-forespørsler og samlet inn informasjon fra de berørte organisasjonene. De trengte ikke å kompromittere Salesforce direkte. I stedet utnyttet de en betrodd forbindelse som kundene allerede hadde godkjent.
Forskere mener at denne metoden gjør det mulig for trusselaktører å bevege seg raskt samtidig som de unngår mange oppdagelsesmekanismer. Angriperne baserte seg på legitime tilgangsveier fremfor skadevare eller programvaresårbarheter.
Icarus fortsetter sin kampanje for datatyveri
Sikkerhetsforskere har knyttet hendelsen til Icarus, en trusselaktør kjent for å rette seg mot organisasjoner som bruker skybaserte forretningsplattformer. Gruppen fokuserer på å stjele bedriftsinformasjon og presse ofre til å betale utpressingskrav.
Ifølge rapporter mottok flere ofre krav om betaling etter at angriperne hadde hentet ut data. Kampanjen følger et mønster forskere har observert i flere andre hendelser som involverer Salesforce-tilknyttede applikasjoner.
Angriperne fortsetter å foretrekke stjålne legitimasjonsopplysninger og misbruk av OAuth fordi disse metodene ofte gir umiddelbar tilgang til verdifull informasjon. Etter hvert som flere organisasjoner tar i bruk SaaS-plattformer, får trusselaktører flere muligheter til å utnytte betrodde integrasjoner.
Tredjepartsintegrasjoner skaper nye risikoer
Klue-hendelsen viser hvordan tredjepartsapplikasjoner kan utvide en organisasjons angrepsflate. Mange selskaper sikrer sine primære skyplattformer grundig, men gir mindre oppmerksomhet til tilkoblede tjenester som har lignende rettigheter.
Forskere har identifisert lignende angrep mot andre Salesforce-integrasjoner de siste månedene. I hvert tilfelle rettet angriperne seg mot en tilkoblet applikasjon i stedet for selve CRM-plattformen. Denne strategien ga dem tilgang til kundeinformasjon gjennom allerede etablerte tillitsforhold.
Organisasjoner benytter ofte dusinvis av integrasjoner i sine miljøer. Uten regelmessige gjennomganger kan disse tilkoblingene skape sikkerhetsblindsoner som angripere aktivt forsøker å utnytte.
Organisasjoner bør gjennomgå OAuth-tillatelser
Sikkerhetseksperter anbefaler at virksomheter gjennomgår alle applikasjoner som er koblet til Salesforce og fjerner integrasjoner som ikke lenger har en forretningsmessig funksjon. Administratorer bør også gjennomgå OAuth-tillatelser og tilbakekalle token som brukerne ikke lenger trenger.
Organisasjoner kan redusere risikoen ytterligere ved å overvåke API-aktivitet, undersøke uvanlige dataeksporter og håndheve sterke tilgangskontroller på tvers av tilkoblede tjenester. Sikkerhetsteam bør behandle tredjepartsintegrasjoner med samme grad av oppmerksomhet som sine kjerneplattformer.
Etter hvert som skyøkosystemene fortsetter å vokse, vil angripere sannsynligvis fortsette å rette seg mot betrodde forbindelser som gir direkte tilgang til sensitiv informasjon.
Konklusjon
Klue OAuth-bruddet viser hvordan angripere kan gjøre betrodde integrasjoner om til kraftige angrepsvektorer. Ved å stjele OAuth-token fikk Icarus-gruppen tilgang til Salesforce-data uten å kompromittere Salesforce selv. Hendelsen understreker behovet for å overvåke tilkoblede applikasjoner, gjennomgå tillatelser regelmessig og sikre hvert ledd i organisasjonens skyøkosystem.


0 responses to “Klue OAuth-brudd driver kampanje for tyveri av Salesforce-data”