Klue İle İlgili Veri İhlali: Icarus Grubunun Saldırısı
Market intelligence platformu Klue, “Icarus” olarak bilinen tehdit aktörleri tarafından gerçekleştirilen bir OAuth ihlaliyle karşı karşıya kaldı. Bu saldırı sonucu birçok organizasyonun Salesforce CRM verileri çalındı ve bu organizasyonlar yeni kurulan bu siber suç grubunun sürekli bir tecavüz kampanyasıyla karşı karşıya kaldı.
Saldırı Nasıl Çalışıyor?
ReliaQuest tarafından sağlanan bilgilere göre, saldırganlar Klue Battlecards entegrasyon hizmeti hesaplarına erişim sağladı ve müşteri Salesforce örnekleri ile ilişkili OAuth belirteçlerini kullanarak veri çaldılar. Araştırmacılar, saldırganların OAuth belirteçlerini ürettiğini ve ardından Salesforce’un REST API’sini yaklaşık 24 saat boyunca sorgulamak için otomatik Python betikleri kullandıklarını gözlemlediler.
Saldırı şu aşamalardan oluşmuştur:
- Kuruluşun Salesforce örneklerinin keşfi, ‘/services/data/v59.0/sobjects’ uç noktasında başladı.
- Veri sızdırma işlemi, ‘/services/data/v59.0/query’ kullanılarak gerçekleştirildi.
- Bir kuruluş için, saldırganlar ilk olarak Salesforce nesnelerini haritalamaya çalıştı ve değerli nesneleri tanımladı.
- Bundan sonra, mevcut hedeflere yönelik hızla hareket ettiler ve 15 dakika içinde neredeyse bin sorgu yaptılar.
Saldırı yöntemleri, daha önce ShinyHunters grubunun gerçekleştirdiği üçüncü taraf Salesforce entegrasyon veri hırsızlığı saldırılarına benzemektedir. Ancak bu saldırıların Icarus grubuna ait olduğu öğrenilmiştir.
Etkilenen Sistemler
Saldırının hedef aldığı sistemler:
- Salesforce
- Klue Battlecards uygulaması
- HubSpot
- SharePoint
- Zoom
- Gong
- Chorus
- Clari
- Google Drive
- Slack
Salesforce, Klue Battlecards uygulaması ile olan bağlantıyı, ihlal araştırması sırasında sonlandırmıştır. Bu süreçte, organizasyonların uygulama aracılığıyla Salesforce’a erişimlerinin olmayacağı duyurulmuştur.
Çözüm ve Korunma
Böyle bir saldırıya karşı alınabilecek önlemler:
- Salesforce ve ilişkili SaaS günlüklerini inceleyin.
- Çalınan OAuth belirteçlerini iptal edin ve değiştirin.
- Aktif oturumları sonlandırın.
- Salesforce günlüklerini, sıradışı API etkinliği için kontrol edin.
- Şu IP adresleriyle ilgili etkinlikleri izleyin:
138.226.246.94
212.86.125.24
213.111.148.90
94.154.32.160Kullanıcıların, yukarıdaki adımları dikkatlice takip etmesi ve güvenlik önlemlerini güçlendirmesi büyük önem taşımaktadır.
Sonuç olarak, organizasyonların Salesforce verilerini korumak için derhal Güncellemeler yapması, şüpheli oturumları kapatması ve mevcut yapılandırmalarını gözden geçirmesi gerekmektedir. Unutulmamalıdır ki, siber güvenlik sürekli olarak güncellenmesi ve iyileştirilmesi gereken bir alandır.
