マーケットインテリジェンスプラットフォームのKlueがOAuth侵害を受け、脅威アクター「Icarus」が複数の組織からSalesforce CRMデータを窃取する恐喝キャンペーンが現在も続いています。
情報筋がBleepingComputerに伝えたところによると、多数の組織がSalesforceのデータを盗まれ、比較的新参の恐喝グループから現在も脅迫を受けているとのことです。
セキュリティ企業のReliaQuestとHuntressはいずれもこのセキュリティインシデントを確認するレポートを公開しており、HuntressはSalesforceのデータが今回の攻撃で窃取されたと明らかにしています。
Salesforceはその後、侵害の調査期間中にKlue Battlecardsとの連携をプラットフォーム上で無効化しました。
「お客様を保護するため、Salesforceは最近のセキュリティインシデントへの対応として、個々のお客様がインストールしているKlue BattlecardsアプリとSalesforceの接続を無効化しました」と、Salesforceは警告しています。
「このため、追って通知があるまで、各組織はこのアプリ経由でSalesforceに接続できない状態が続きます。」
このインシデントや未公表の攻撃に関する情報をお持ちの方は、Signalの646-961-3731、または[email protected]まで秘密厳守でご連絡ください。
盗まれたOAuth認証情報を悪用したSalesforceデータ窃取
攻撃者より先に、あらゆる防御層をテスト
セキュリティチームが記録できる攻撃は成功した攻撃全体の54%に過ぎず、アラートが発報されるのはわずか14%にとどまっています。残りの攻撃は検知されることなく環境内を侵害し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。
