La plateforme de renseignement stratégique Klue a été victime d’une compromission OAuth. Des pirates baptisés « Icarus » ont exploité cette faille pour dérober des données provenant d’instances Salesforce chez plusieurs entreprises, dans le cadre d’une campagne d’extorsion en cours.
Les informations relayées par BleepingComputer indiquent que de nombreuses organisations ont subi ce vol et reçoivent désormais des demandes de rançon. Les sociétés de cybersécurité ReliaQuest et Huntress ont confirmé l’incident. Huntress a précisé que ses propres données Salesforce avaient été exfiltrées.
En réaction, Salesforce a désactivé l’intégration Klue Battlecards sur sa plateforme le temps de l’enquête. L’entreprise a déclaré avoir pris cette mesure pour protéger ses clients.
Des identifiants OAuth volés pour siphonner Salesforce
Selon ReliaQuest, les attaquants ont d’abord pris le contrôle des comptes de service de l’intégration Klue Battlecards. Ils ont ensuite utilisé les jetons OAuth associés aux instances Salesforce des clients pour organiser le vol de données.
Les chercheurs ont observé que les pirates généraient des jetons OAuth, puis exécutaient des scripts Python automatisés pour interroger l’API REST de Salesforce pendant près de 24 heures. L’activité a débuté par une reconnaissance des objets Salesforce via un point de terminaison spécifique, avant le passage à l’exfiltration massive des données.
ReliaQuest rapporte que pour une organisation, les assaillants ont d’abord cartographié les objets avec lenteur pour identifier les plus sensibles, puis ont accéléré le rythme du vol une fois leur cible définie. Ces méthodes ressemblent à celles précédemment employées par le groupe d’extorsion ShinyHunters, mais l’attaque a finalement été attribuée à un acteur émergent nommé Icarus.
Icarus a commencé à envoyer des emails de chantage aux clients de Klue touchés par la brèche. Un exemple de note de rançon partagé avec BleepingComputer montrait que les messages étaient signés de l’alias « mr bean » et incluaient un identifiant Session Messenger pour établir le contact.
Source : BleepingComputer
Le site de fuite de données des pirates affiche également un message titré « Get Ready », qui laisse présager une campagne plus large.
Source : BleepingComputer
Huntress a confirmé qu’elle figurait parmi les entreprises affectées et a reçu un email d’extorsion similaire. L’identifiant Session fourni dans cet email correspondait à celui visible sur le site de fuite d’Icarus, ce qui renforce l’attribution.
D’après Huntress, Klue a informé ses clients que les attaquants ont d’abord compromis ses systèmes internes, puis ont poussé une mise à jour de code malveillant qui a volé les jetons OAuth des clients. Ces jetons servaient à connecter le produit Battlecards à des plateformes tierces. Les pirates auraient utilisé un identifiant dormant, mais toujours actif, qui avait été créé par Klue pour un prototype d’intégration.
Face à l’incident, Klue a coupé les intégrations avec Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive et Slack. Les données volées incluent des informations liées à la gestion de la relation client, comme des contacts professionnels, des communications commerciales, des devis, des rapports de renseignement concurrentiel et des données de comptes.
Huntress affirme qu’il n’existe aucune preuve que des renseignements sur les menaces, la télémétrie client, les mots de passe, les informations de cartes de paiement ou les systèmes d’ingénierie aient été compromis.
ReliaQuest et Huntress ont partagé les adresses IP associées à cette attaque : 138.226.246.94, 212.86.125.24, 213.111.148.90 et 94.154.32.160.
Les organisations qui utilisent les intégrations Klue sont invitées à examiner les journaux de leurs services SaaS pour toute activité provenant de ces adresses, à révoquer et renouveler leurs jetons OAuth, à mettre fin aux sessions actives et à analyser les journaux Salesforce pour détecter une activité API inhabituelle.