Двенадцатого июня 2026 года специалисты компании Klue, разрабатывающей решения для управления конкурентной информацией, выявили несанкционированную активность в своей интеграционной инфраструктуре. Инцидент классифицируется как компрометация цепочки поставок SaaS (программное обеспечение как услуга). Злоумышленники использовали долгоживущие токены OAuth для подключения к клиентским экземплярам Klue, что позволило им получить доступ к данным Salesforce и другим облачным платформам.
Описание
На момент написания статьи Salesforce отключил соединения с приложением Klue Battlecards - инструментом для анализа конкурентной среды, чтобы предотвратить дальнейшее распространение атаки. Корневых уязвимостей в платформе Salesforce при этом не обнаружено. Инцидент носит характер целевой атаки на интеграционное звено, а не на сам CRM-продукт.
Предшествующий аналогичный инцидент с платформой Salesloft Drift демонстрирует схожую цепочку событий. Оба случая связаны со злоупотреблением доверенными интеграциями OAuth со стороны сторонних поставщиков. Согласно анализу Google Threat Intelligence (подразделение Google, занимающееся выявлением киберугроз), группа UNC6395 применяла идентичные тактики при компрометации экземпляров Salesloft Drift для доступа к клиентским данным Salesforce. Тот инцидент привёл к масштабной эксфильтрации данных в период с 8 по 18 августа 2025 года. Эксперты отмечают сильную связь между тактиками, техниками и процедурами (TTP) в обоих инцидентах, хотя официального подтверждения этой связи пока нет.
Изначально атаку на Klue связывали с группировкой ShinyHunters (также известной как UNC6395). Однако позднее атрибуция изменилась: ответственность взяла на себя новая угроза под именем Icarus. На своём сайте утечек (DLS, от англ. dedicated leak site) Icarus опубликовал краткое описание ситуации, сопроводив его заявлением о том, что данные не украдены, а лишь "одолжены". Подобная риторика характерна для вымогателей, которые используют похищенную информацию для шантажа.
Механизм компрометации, реконструированный на основе открытых данных, выглядит следующим образом. Злоумышленники получили первоначальный доступ к Klue через скомпрометированные устаревшие учётные данные, привязанные к сервисным аккаунтам. Затем они переместились в интеграционную инфраструктуру компании, где внедрили вредоносный код для кражи токенов OAuth. Эти токены, выпущенные для легитимных интеграций, позволяли аутентифицироваться от имени самого приложения Klue. После сбора токенов атакующие получили возможность подключаться к клиентским экземплярам Salesforce и других платформ.
На этапе пост-эксплуатации противники использовали автоматизированные REST API-вызовы (программный интерфейс передачи репрезентативного состояния) для перечисления объектов Salesforce, выполнения запросов и извлечения записей из CRM-системы. Таким образом были скомпрометированы конфиденциальные данные о клиентах, сделках и контрактах.
Последствия инцидента выходят за рамки непосредственной утечки. Организации-клиенты Klue и их партнёры должны сохранять повышенную бдительность в ближайшие дни и недели. Злоумышленники, получив доступ к данным, могут организовать высокоточные фишинговые кампании, сложные атаки с использованием социальной инженерии, а также мошенничество с поддельными счетами. Имея в распоряжении корпоративную информацию, атакующие способны с высокой достоверностью имитировать переписку от лица доверенных контрагентов.
В качестве первоочередных защитных мер для организаций, использующих интеграции с Klue, рекомендуется немедленный отзыв текущих токенов OAuth и refresh-токенов (токенов обновления). Простая смена пароля недостаточна, поскольку токены являются самостоятельным механизмом аутентификации. Необходимо также сменить учётные данные сервисных аккаунтов, включая секреты подключённых приложений и API-ключи. Все интеграции с Klue следует отключить, поместить в карантин или перевести под строгий мониторинг. Владельцы аккаунтов должны проверить области доступа, подозрительную активность и любые действия, совершаемые от имени третьих лиц. Дополнительно требуется завершить все активные сессии, выполнить аудит экземпляров Salesforce, запросить логи у вендора и ужесточить настройки критически важных подключённых приложений.
Атака на Klue наглядно демонстрирует уязвимость экосистемы доверенных интеграций SaaS. Разработчики и клиенты должны учитывать, что даже если ядро платформы защищено, точки сопряжения со сторонними сервисами могут стать вектором проникновения. Рекомендуется внедрить принцип минимальных привилегий для интеграционных токенов, регулярно их ротировать и использовать короткие сроки жизни.
Индикаторы компрометации
IPv4
- 138.226.246.94
- 212.86.125.24
- 213.111.148.90
- 94.154.32.160
Domain
- baccarat.com.au
- house.com.au
- robinskitchen.com.au
User-Agent
- Python-urllib/3.12
- Python-urllib/3.14
- blank / empty
- 5238
Salesforces REST path
- /services/data/v59.0/sobjects
- /services/data/v59.0/query
- /services/data/v59.0/query/<STRING>
