В июне 2026 года специалисты ReliaQuest зафиксировали инцидент, в ходе которого злоумышленники использовали взломанную интеграцию платформы конкурентной разведки Klue для хищения данных из Salesforce. Атака повторяет сценарий, ранее применённый при компрометации Salesloft Drift и Gainsight, и подтверждает, что доверенные интеграции SaaS-решений остаются уязвимым каналом доступа к конфиденциальной информации корпораций.
Описание
Наблюдавшаяся активность началась с аутентификации через сервисный аккаунт интеграции Klue. Получив учётные данные, злоумышленник сгенерировал OAuth-токены и запустил автоматизированные скрипты на Python, которые взаимодействовали с Salesforce REST API. Эти скрипты сначала перечисляли каталог объектов организации через эндпоинт GET /services/data/v59.0/sobjects, а затем выполняли циклические запросы к эндпоинту /services/data/v59.0/query. Для обхода ограничений на размер выборки использовался курсор QueryMore, позволяющий извлекать данные постранично. Процесс длился почти 24 часа, причём в одном из окружений за 15 минут было совершено почти тысяча запросов. В другом случае эксфильтрация продолжалась более шести часов.
Важно отметить, что атакующий не взламывал саму инфраструктуру Salesforce. Он воспользовался легитимными учётными данными интеграции, которая в обычном режиме синхронизирует данные между Klue и CRM. Именно этот факт делает атаку труднозаметной: трафик от интеграции часто воспринимается системами мониторинга как штатный. Согласно отчёту ReliaQuest, объём и характер запросов указывают на целенаправленное извлечение больших массивов записей, а не на обычную работу интеграции. Доступные данные могли включать информацию об аккаунтах, контактах, результатах сделок и ценах - всё зависит от того, какие права были предоставлены интеграции при настройке.
Сценарий атаки почти полностью повторяет кампании 2025 и 2026 годов, когда группы ShinyHunters и UNC6395 использовали OAuth-токены доверенных приложений для доступа к Salesforce. В июне 2025 года ShinyHunters применяла голосовой фишинг, чтобы заставить сотрудников авторизовать вредоносное приложение, после чего извлекала данные для вымогательства. В августе 2025 года группировка UNC6395 похитила refresh-токены интеграции Salesloft Drift и через них получала доступ к сотням организаций. В случае с Klue атрибуция пока не установлена. Инструментарий атакующего включает Python-urllib в качестве строки User-Agent, что отличается от используемого UNC6395 (python-requests, Salesforce-CLI). Кроме того, трафик шёл через дата-центры, а не через сеть Tor, как это делала UNC6395. Требования выкупа или публикации данных пока не зафиксированы.
Атака высветила проблему, которая остаётся вне поля зрения многих служб безопасности: нечеловеческие идентификаторы - сервисные аккаунты и OAuth-токены сторонних интеграций - часто имеют широкий доступ к критическим данным, но мониторинг их активности минимален. В ходе расследования выяснилось, что злоумышленник также обращался к эндпоинтам SIEM и SOAP одной из организаций, хотя ReliaQuest пока не подтвердила факт компрометации этих систем.
Для защиты от подобных угроз эксперты рекомендуют три немедленных действия. Во-первых, отозвать и ротировать учётные данные и токены OAuth для всех интеграций, связанных с Salesforce, включая refresh-токены. Простая смена пароля не отключает долгоживущий refresh-токен, который может храниться на стороне злоумышленника. Во-вторых, провести анализ логов Salesforce API на предмет аномального объёма запросов, повторяющихся вызовов QueryMore, использования необычных User-Agent (Python-urllib) и подключений с незнакомых IP-адресов. В-третьих, внедрить белую список IP-адресов для доступа к API интеграций и ограничить доступ к SIEM и SOAR API только доверенной инфраструктурой.
На данный момент окончательный масштаб утечки, вектор первичного доступа (скомпрометирована ли учётная запись на стороне Klue или в целевом окружении) и цели злоумышленника остаются невыясненными. ReliaQuest продолжает расследование и обновит данные по мере поступления информации. Вероятно, что атаки на Salesforce-интеграции через OAuth будут продолжаться и во второй половине 2026 года, поскольку этот метод доказал свою эффективность и повторяемость. Организациям следует рассматривать любые сторонние приложения с OAuth-доступом к Salesforce как часть поверхности атаки, проводить их инвентаризацию и мониторинг, а также строго ограничивать права по принципу минимальной необходимости.
Индикаторы компрометации
IPv4
- 212.86.125.24
- 213.111.148.90
- 8.226.246.94
- 94.154.32.160