Nach Angaben von Salesforce wurde die Verbindung zu Battlecards gestoppt, nachdem interne Sicherheitsteams verdächtige Aktivitäten rund um die App entdeckt hatten. In einer Warnmeldung erklärte der CRM-Anbieter, der Vorfall könne über die App-Verbindung zu einem unbefugten Zugriff auf einen Teil von Kundendaten geführt haben. Zugleich stellte Salesforce klar, dass kein Fehler innerhalb der Salesforce-Plattform selbst zugrunde liege.

ReliaQuest schrieb in einem Blogeintrag, dass Angreifer über Klue-OAuth-Tokens Zugang zu Salesforce-Instanzen erhielten und Kundendaten exfiltrierten. Die Forscher ordnen den Vorfall in eine Reihe ähnlicher Angriffe ein, bei denen Drittanbieter-Integrationen missbraucht wurden. ReliaQuest verweist dabei ausdrücklich auf die früheren Kompromittierungen von Salesloft Drift und Gainsight.

In den von ReliaQuest beobachteten Angriffen authentifizierten sich die Täter über ein kompromittiertes Dienstkonto der Klue-Integration. Anschließend erzeugten sie OAuth-Tokens, die Zugriff auf die eingebundenen Salesforce-Instanzen der Kunden ermöglichten. Für den Datenabzug kamen automatisierte Python-Skripte zum Einsatz, die die Salesforce-REST-API nutzten; der Vorgang erstreckte sich laut ReliaQuest über ungefähr 24 Stunden.

Zu den auffälligen Mustern gehörte laut ReliaQuest in mindestens einer Umgebung ein konzentrierter Schub von fast tausend Abfragen innerhalb von 15 Minuten. Insgesamt habe die Exfiltration länger als sechs Stunden angehalten. Ein Sprecher von ReliaQuest sagte gegenüber Dark Reading, das 24-Stunden-Fenster spreche eher für eine Massenextraktion als für einen unterbrochenen Angriff: Der Täter habe offenbar verfügbare Daten erfasst, zugängliche Inhalte extrahiert und den Zugriff danach beendet.

Wie viele Salesforce-Kunden betroffen sind, ist bislang unklar. Bekannt ist jedoch mindestens ein Fall: Huntress erklärte in einem Blogbeitrag, Angreifer hätten Daten kopiert, darunter Geschäftskontakte, Preisangebote sowie weitere vertriebsbezogene Daten und Nachrichten.

Huntress ergänzte, die Angreifer hätten ein Backend-System von Klues Marktintelligenz-Plattform kompromittiert. Demnach begann der Vorfall am 11. Juni, als in einem System, das verschiedene Integrationen zu anderen Software-Plattformen verbindet, anomales Verhalten auftrat. Die Angreifer spielten laut Huntress ein Code-Update ein, das OAuth-Tokens sammeln konnte, mit denen Klue-Kunden die Plattform an ihre eigenen Systeme anbinden.

Als Ausgangspunkt der Kompromittierung nennt Huntress ein „seit langem nicht mehr genutztes, aber noch aktives Zugangsmittel“. Dieses sei ursprünglich für Tests einer Drittanbieter-Integration angelegt worden, die am Ende nie eingesetzt wurde. Über diese Zugangsdaten verschafften sich die Angreifer laut Huntress Zugang zu Klues Umgebung.

Huntress zufolge bemerkte Klue die bösartige Aktivität am 12. Juni. Das Unternehmen habe daraufhin schnell reagiert, sämtliche OAuth-Zugangsdaten für Kunden deaktiviert und neben Salesforce auch Integrationen mit HubSpot, Microsoft SharePoint, Zoom und Google Drive abgeschaltet.

Für die jüngste Angriffswelle macht Huntress nicht ShinyHunters verantwortlich, die mit früheren Salesforce-Angriffen in Verbindung gebracht wurden, sondern die Gruppe Icarus. Huntress erhielt am 16. Juni eine E-Mail von den Angreifern, in der diese erklärten, im Besitz der gestohlenen Salesforce-Daten zu sein und diese innerhalb von 24 Stunden zu veröffentlichen, falls Huntress nicht „die richtige Entscheidung“ treffe. Die Erpressernachricht enthielt zudem einen eindeutigen Schlüssel für die Kommunikationsplattform Session.

Nach Angaben von Huntress entsprach die Session-Messenger-ID in der E-Mail denselben Werten, die auch auf der Dark-Web-Leakseite von Icarus auftauchten. Außerdem stellte Huntress fest, dass die eingegangenen E-Mails von drei Unternehmens-Maildomains der australischen Firma Global Retail Brands stammten. Die Ermittler des Anbieters gehen davon aus, dass Icarus die Infrastruktur des Einzelhändlers kompromittiert hat und dessen Mailserver für bösartige Zwecke nutzt. Huntress meldete die Aktivität dem Australian Cyber Security Centre.

Solange die Untersuchungen laufen, rät ReliaQuest betroffenen Organisationen, alles im Zusammenhang mit der Klue-Integration sofort zu widerrufen und neu auszustellen, einschließlich Dienstkontopasswort, Refresh-Tokens, Client-Secrets und aktiver OAuth-Freigaben. Zusätzlich empfiehlt der Anbieter, die Salesforce-API-Aktivität auf ungewöhnlich hohe REST-API-Abfragevolumen und andere Auffälligkeiten zu prüfen sowie IP-Allowlisting für Drittanbieter-Integrationskonten und verbundene Apps durchzusetzen.