Атака на Klue вскрыла риски SaaS-интеграций и CRM

Недавний инцидент, связанный с атакой на цепочку поставок программного обеспечения против платформы рыночной аналитики Klue, показал, насколько уязвимыми могут быть клиентские интеграции. В результате атаки был получен несанкционированный доступ к данным, а затем — их эксфильтрация из ряда последующих SaaS-приложений, прежде всего из CRM-систем.

Как развивалась атака

По данным отчета, злоумышленник начал с использования давно неактивных учетных данных, связанных с внутренней средой Klue. Это позволило ему получить первоначальный доступ к системе.

После проникновения актор развернул вредоносный код, специально предназначенный для сбора OAuth tokens. Именно они обеспечивают подключение между Klue и сторонними integrations, а также играют ключевую роль в аутентификации и управлении доступом к данным между системами.

Получив OAuth-токены, злоумышленник смог выполнять запросы к CRM-системам клиентов и тем самым получить доступ к нескольким подключенным платформам.

Какие данные были затронуты

Среди затронутых сервисов оказался, в частности, Salesforce. Из него были эксфильтрованы различные наборы данных, содержащие структурированную business information, включая:

  • контакты;
  • детали ценообразования;
  • commercial communications;
  • internal notes.

Таким образом, компрометация затронула не только технический уровень интеграции, но и чувствительные бизнес-данные, которые обычно используются в операционной и клиентской деятельности.

Почему этот инцидент важен

Этот случай является примером chain supply chain compromise, когда эксплуатация единственного отказа интеграции на верхнем уровне приводит к масштабному несанкционированному доступу в многочисленных средах нижнего уровня. Иными словами, слабое место в одном звене может открыть злоумышленнику доступ сразу к целому набору связанных сервисов.

Подобные инциденты особенно опасны для SaaS-экосистем, где доступ между платформами часто строится на token-based authorization и тесно связанных интеграциях. В такой модели компрометация одного компонента может быстро распространиться на другие.

Рекомендации после инцидента

После инцидента организациям рекомендуется сохранять повышенную бдительность в отношении возможной утечки данных. В частности, отчет советует обратить внимание на следующие меры:

  • отслеживать почтовые системы на предмет сообщений, связанных с вымогательством;
  • сохранять подозрительные письма для последующего forensic analysis;
  • контролировать indicators of compromise, связанные с несанкционированным доступом;
  • особенно внимательно проверять exports данных из CRM-систем, включая Salesforce.

Эксперты подчеркивают, что раннее обнаружение аномалий в интеграциях, token usage и data exports может существенно снизить масштаб возможного ущерба.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: