Icarus ハッカーによる攻撃の主張により、Clue OAuth 侵害の被害者のリストが増加

新しい「Icarus」恐喝グループが攻撃を公に主張する中、市場インテリジェンスプラットフォームClueは、顧客のSalesforce環境への接続に使用されるOAuthトークンを脅威アクターが盗むことを可能にした最近のセキュリティインシデントを公的に認めた。

この開示は、サイバーセキュリティ企業のHuntressとReliaQuestが、攻撃者がClue BattleCardの統合を悪用して複数の組織からSalesforce CRMデータを盗んだ方法を詳述した後に行われた。

今週発表された声明の中で、Clueの最高経営責任者（CEO）Jason Smith氏は、同社が6月12日にClueの統合インフラストラクチャの一部に影響を与える不正行為を発見したことを認めた。

「6月12日、私たちはClueの統合インフラストラクチャの一部に影響を与える不正な活動を特定しました。それ以来、私たちは信頼できるサイバーセキュリティの専門家と協力して何が起こったのかを理解し、顧客をサポートし、あなたが依存している接続を復元してきました」とスミス氏は書いている。

「私たちの調査により、攻撃者が統合サービスに関連する侵害されたレガシー資格情報を介してアクセスを取得したことが判明しました。攻撃者はそのアクセスを使用して、Clue を Salesforce を含む特定のサードパーティプラットフォームに接続するために使用される OAuth トークンを取得し、その後、接続された複数の顧客環境内のデータにアクセスしました。」

同社は、現時点ではClueプラットフォーム内に直接保存されている顧客コンテンツが影響を受けたという証拠はなく、インシデントはサードパーティの統合に限定されていたと述べている。

Clueは、影響を受けた資格情報とトークンを直ちに取り消し、未承認のコードを削除し、影響を受けた統合を無効にし、調査を開始し、法執行機関に通報したと述べた。同社はまた、対応を支援するためにCrowdStrikeと協力したことも認めた。

ReliaQuest と Huntress は、攻撃者が Clue 統合に関連する盗んだ OAuth 認証情報を使用して、顧客の Salesforce 環境にアクセスし、大規模なデータを盗んだことを発見しました。

ReliaQuest は、データが盗まれたときに、攻撃者が OAuth トークンを生成し、Python スクリプトを使用して Salesforce の API に長いクエリを行っていたことを観察しました。

その後、Huntress は自社の Salesforce 環境が Clue 侵害の影響を受け、盗まれたデータにはビジネス上の連絡先、販売コミュニケーション、価格情報、その他の記録が含まれていることを明らかにしました。

イカロスが犯行声明

BleepingComputer と Huntress は以前、この事件を Icarus 恐喝作戦と関連付けていましたが、現在、脅威アクターはデータ漏洩サイトで公に犯行声明を出しています。

「すでにご存知かと思いますが、最近、Klue.com が当社の影響を受けました。Klue パートナーであった他のいくつかの企業の Salesforce インスタンスが削除されました」と Icarus の投稿には書かれています。

攻撃者は、Clue と影響を受けた組織に対し、盗まれたデータの漏洩を防ぐために、Session メッセージングプラットフォーム経由で連絡するよう圧力をかけました。

この投稿は、BleepingComputer が攻撃が Ikarus に関連していると最初に報じた後に行われ、情報源は影響を受けた組織に送信された恐喝メールを共有していました。ハントレスは、グループのデータ漏洩サイトで使用されていた恐喝メールとセッションメッセンジャーIDを通じて、この作戦をイカロスと独自に関連付けた。

それ以来、Recorded Future、Tanium、Jamf、Sprout Social、Gong、Insurity などのさらなる被害者が攻撃の影響を受けたことを明らかにしています。

ほぼ全員が、このインシデントにより Salesforce インスタンスからデータが盗まれたが、プラットフォーム、インフラストラクチャ、支払い情報、内部システムには影響がなかったと述べています。

いくつかの組織は、盗まれたビジネス連絡先情報がその後のフィッシング、ソーシャルエンジニアリング、恐喝キャンペーンに使用される可能性があると警告し、顧客に引き続き警戒するよう呼び掛けています。

記事画像