Klue-Vorfall: „Icarus“ stiehlt über OAuth Salesforce-Daten und erpresst Betroffene

Zusammenfassung

Die Market-Intelligence-Plattform Klue ist Ziel eines OAuth-bezogenen Sicherheitsvorfalls geworden, der nach Angaben von ReliaQuest, Huntress und BleepingComputer zum Diebstahl von Salesforce-CRM-Daten aus mehreren Organisationen führte. Hinter der laufenden Erpressungskampagne steht demnach nicht ShinyHunters, sondern die noch vergleichsweise neue Gruppe „Icarus“. Salesforce reagierte bereits und deaktivierte die Klue-Battlecards-Integration auf seiner Plattform vorübergehend. Der Hersteller erklärte, zum Schutz der Kunden sei die Verbindung zwischen der von einzelnen Kunden installierten App Klue Battlecards und Salesforce im Zuge der Reaktion auf den Vorfall abgeschaltet worden. Betroffene Organisationen können die App deshalb bis auf Weiteres nicht mit Salesforce verbinden. Nach Erkenntnissen von ReliaQuest missbrauchten die Angreifer OAuth-Tokens aus Kundenumgebungen, nachdem sie Zugriff auf Dienstkonten der Klue-Battlecards-Integration erlangt hatten. Huntress bestätigte später, selbst zu den betroffenen Organisationen zu gehören, und teilte mit, dass dabei eigene Salesforce-Daten entwendet wurden.

ReliaQuest zufolge verschafften sich die Angreifer Zugang zu Servicekonten der Klue-Battlecards-Integration und nutzten die zugehörigen OAuth-Tokens von Salesforce-Instanzen der Kunden für den Datendiebstahl. Die Forscher beobachteten, wie die Täter OAuth-Tokens erzeugten und anschließend mit automatisierten Python-Skripten fast 24 Stunden lang die REST-API von Salesforce abfragten.

Die Aktivität begann laut ReliaQuest mit der Aufklärung von Salesforce-Instanzen über den Endpunkt “/services/data/v59.0/sobjects”. Für den eigentlichen Abzug der Daten verwendeten die Angreifer danach “/services/data/v59.0/query”. In mindestens einer Umgebung hätten sie zunächst langsam die vorhandenen Salesforce-Objekte kartiert, um wertvolle Datenquellen zu identifizieren, und danach den Abfluss stark beschleunigt. ReliaQuest berichtete, dass der Angreifer in einem Zeitraum von 15 Minuten fast tausend Abfragen an denselben Endpunkt geschickt habe. Während die erste Phase auf unauffälliges, kontinuierliches Absaugen ausgelegt gewesen sei, habe die spätere Spitze Tarnung gegen Tempo eingetauscht. In einem weiteren Fall beobachteten die Forscher eine Exfiltration über sechs Stunden.

Das Muster ähnelte nach Einschätzung von ReliaQuest früheren Datendiebstählen über Salesforce-Drittintegrationen, die der Erpressungsgruppe ShinyHunters zugeschrieben werden. Eine belastbare Zuordnung nahm das Unternehmen jedoch nicht vor. BleepingComputer erfuhr später, dass hinter dieser Kampagne stattdessen „Icarus“ stehen soll. Die Gruppe habe bereits begonnen, betroffene Klue-Kunden per E-Mail zu erpressen.

Ein BleepingComputer vorliegendes Erpressungsschreiben wurde demnach unter dem Alias „mr bean“ verschickt und enthielt eine Session-Messenger-ID als Kontaktweg. Auf der Datenleck-Seite der Gruppe findet sich außerdem ein knapper Eintrag mit der Überschrift „Macht euch bereit“, in dem es heißt, große Unternehmen würden gelistet und man solle sich darauf einstellen. BleepingComputer berichtet, Icarus sei wohl erst seit April 2026 aktiv und habe zunächst zwei Opfer auf seiner Leak-Seite geführt; mindestens eines davon stehe mit der Klue-Kampagne in Verbindung. Dieses Unternehmen sei inzwischen von der Seite verschwunden, was auf laufende Verhandlungen hindeuten könnte.

Huntress machte öffentlich, selbst von dem Klue-Vorfall betroffen zu sein. Das Unternehmen bestätigte, eine ähnliche Erpressungs-E-Mail erhalten zu haben wie die von BleepingComputer eingesehene Nachricht. In späteren E-Mails sei allerdings eine andere Session-ID verwendet worden, nämlich dieselbe, die auch auf der Icarus-Leak-Seite auftauche. Für Huntress ist das ein zusätzlicher Hinweis auf die Urheberschaft der Gruppe. In der ersten E-Mail hätten die Angreifer geschrieben: „Wir raten Ihnen, uns über Session zu schreiben.“ Die mitgelieferte Session-Messenger-ID habe mit den Angaben auf der Leak-Seite der neuen Erpressungsgruppe „Icarus“ übereingestimmt.

Nach Angaben von Huntress informierte Klue seine Kunden darüber, dass Angreifer zunächst die Backend-Systeme des Unternehmens kompromittiert und anschließend ein bösartiges Code-Update verteilt hätten. Dieses Update habe OAuth-Tokens abgegriffen, die Kunden für die Anbindung des Battlecards-Produkts an Plattformen von Drittanbietern verwenden. Die Täter sollen dafür einen ruhenden, aber noch aktiven Zugang verwendet haben, den Klue für eine Prototyp-Integration angelegt hatte. Nach dem Eindringen in die Klue-Umgebung stahlen sie demnach Kunden-Tokens und fragten damit direkt die angebundenen Salesforce-Umgebungen ab.

Klue deaktivierte im Verlauf der Reaktion laut Huntress nicht nur die Salesforce-Anbindung, sondern auch Integrationen zu HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive und Slack. Zu den entwendeten Daten zählen laut Huntress CRM-bezogene Informationen wie Geschäftskontakte, Vertriebs-Kommunikation, Preisangebote, Berichte zur Wettbewerbsbeobachtung und Kontodaten. Keine Hinweise gebe es dagegen auf eine Kompromittierung von Bedrohungsdaten, Kundentelemetrie, Passwörtern, Zahlungskarteninformationen oder Entwicklungssystemen.

ReliaQuest und Huntress veröffentlichten zudem mit dem Angriff verknüpfte IP-Adressen. Organisationen mit Klue-Integrationen sollten laut dem Bericht Salesforce- und andere SaaS-Protokolle auf Aktivitäten aus diesen Adressen prüfen, OAuth-Tokens widerrufen und austauschen, aktive Sitzungen beenden und Salesforce-Logs auf ungewöhnliche API-Aktivität untersuchen.

Klue-Vorfall: „Icarus“ stiehlt über OAuth Salesforce-Daten und erpresst Betroffene

Ähnliche Artikel

Neueste Artikel