یک مهاجم سایبری با نفوذ به شرکت ارائهدهنده راهکارهای هوش رقابتی Klue، موفق به سرقت توکنهای OAuth مورد استفاده مشتریان برای اتصال این پلتفرم به سیلزفورس (Salesforce) و سایر سرویسهای شخص ثالث شد. سپس این مهاجم با سوءاستفاده از توکنهای سرقتشده به دادههای چندین سامانه مشتری دسترسی یافت؛ رخدادی که Klue را وادار کرد تمامی توکنهای OAuth سرقتشده را باطل کرده و یکپارچهسازیهای تحت تأثیر را غیرفعال کند.
بررسیها نشان میدهد نقطه ورود اولیه مهاجم، یک اعتبارنامه قدیمی متعلق به یکی از سرویسهای یکپارچهسازی بود که با وجود کنار گذاشته شدن آن سرویس، هرگز غیرفعال نشده بود. مهاجم پس از دسترسی به زیرساخت Klue، توکنهای احراز هویت مشتریان را جمعآوری کرد و از آنها برای دسترسی به دادههای سامانههای مدیریت ارتباط با مشتری (CRM) و استخراج بخشی از این اطلاعات بهره برد.
Klue اعلام کرد این رخداد امنیتی را در 12 ژوئن شناسایی کرده و یک هفته بعد جزئیات آن را از طریق وبلاگ رسمی شرکت منتشر کرده است.
تأثیر حمله بر مشتریان Klue و واکنش سیلزفورس
دامنه این رخداد تنها به Klue محدود نشد و حسابهای سیلزفورس متعلق به شرکتهای امنیت سایبری Huntress و Recorded Future نیز در پی سوءاستفاده از توکنهای OAuth تحت تأثیر قرار گرفتند. تاکنون Klue اعلام نکرده است چه تعداد از سایر مشتریان این شرکت تحت تأثیر این رخداد قرار گرفتهاند. سیلزفورس در واکنش به این رخداد، با غیرفعال کردن اتصال اپلیکیشن Klue Battlecards به پلتفرم خود، اعلام کرد که سازمانها تا اطلاع ثانوی امکان اتصال مجدد از طریق این اپلیکیشن را نخواهند داشت.
این شرکت در بیانیهای اعلام کرد: «تیمهای امنیتی ما بهتازگی فعالیت غیرعادی مرتبط با اپلیکیشن Klue را شناسایی کردهاند؛ فعالیتی که ممکن است از طریق اتصال این اپلیکیشن به سیلزفورس، دسترسی غیرمجاز به بخشی از دادههای مشتریان را فراهم کرده باشد. بررسیهای انجامشده نشان میدهد این رخداد تنها به اتصال اپلیکیشن Klue محدود میشود و هیچ شواهدی مبنی بر وجود آسیبپذیری در پلتفرم سیلزفورس وجود ندارد.»
Klue کد غیرمجاز را از زیرساخت خود حذف کرد
مدیرعامل Klue اعلام کرد این شرکت پس از شناسایی رخداد امنیتی، مجموعهای از اقدامات فوری را برای کنترل پیامدهای آن در دستور کار قرار داده است. این اقدامات شامل ابطال اعتبارنامهها و توکنهای OAuth، غیرفعالسازی یکپارچهسازیهای تحت تأثیر، اطلاعرسانی به نهادهای مجری قانون و حذف کد غیرمجاز از زیرساختهای شرکت میشود.
با این حال، Klue جزئیاتی درباره ماهیت این کد، نحوه ورود آن به سامانهها یا عملکرد آن منتشر نکرد. همچنین این شرکت در پاسخ به درخواست رسانهها برای ارائه اطلاعات بیشتر درباره فرآیند شناسایی و حذف این کد، توضیحی ارائه نداد.
Huntress نحوه سرقت توکنهای OAuth را تشریح کرد
شرکت امنیت سایبری Huntress که خود یکی از مشتریان Klue است، با انتشار نتایج تحقیقات مستقل خود، جزئیات تازهای از نحوه اجرای این حمله منتشر کرد. بر اساس این گزارش، مهاجمان با اعمال یک بهروزرسانی کد در یکی از سامانههای یکپارچهسازی Klue، کدی را مستقر کردند که با هدف سرقت توکنهای OAuth مشتریان طراحی شده بود. تیم فنی Klue نیز پس از شناسایی این کد سرقت توکن، آن را از زیرساخت شرکت حذف کرد.
بررسیهای Huntress نشان میدهد نقطه ورود اولیه مهاجمان، یک اعتبارنامه قدیمی بود که Klue در گذشته برای آزمایش یک یکپارچهسازی با یک سرویس شخص ثالث ایجاد کرده بود. با وجود کنار گذاشته شدن این پروژه، اعتبارنامه مربوطه هرگز غیرفعال نشد و همین موضوع فرصت لازم را برای آغاز حمله فراهم کرد.
به گفته Huntress، عامل تهدید با سوءاستفاده از این اعتبارنامه، ابتدا به زیرساخت Klue دسترسی پیدا کرد و سپس با انجام حرکت جانبی (Lateral Movement)، دامنه دسترسی خود را در بخشهای مختلف زیرساخت گسترش داد. مهاجم پس از جمعآوری توکنهای مشتریان، با استفاده از آنها درخواستهای متعددی را به سامانههای مدیریت ارتباط با مشتری (CRM) ارسال کرد و در نهایت دادههای این سامانهها را استخراج نمود.
در ادامه این رخداد، Klue اتصال خود با سرویسهای سیلزفورس، هاباسپات (HubSpot)، شیرپوینت (SharePoint)، زوم (Zoom)، گانگ (Gong)، کورس (Chorus)، کلاری (Clari)، گوگل درایو (Google Drive) و اسلک (Slack) را متوقف کرد و در تاریخ 13 ژوئن با انتشار یک هشدار عمومی، مشتریان خود را از این رخداد مطلع ساخت.
Huntress در گزارش خود تأکید کرد هشدار منتشرشده از سوی Klue مشخص نمیکرد کدام مشتریان تحت تأثیر این رخداد قرار گرفتهاند و نام هیچیک از سازمانهای متأثر نیز منتشر نشده بود.
استخراج دادهها طی 24 ساعت از طریق API سیلزفورس
شرکت امنیت سایبری ReliaQuest نیز در تحلیل خود، جزئیات بیشتری از نحوه استخراج دادههای CRM از سیلزفورس منتشر کرد. بر اساس این گزارش، مهاجم ابتدا با احراز هویت در حسابهای سرویس یکپارچهسازی Klue متعلق به قربانیان، توکنهای OAuth را تولید کرد و سپس با اجرای اسکریپتهای خودکار پایتون (Automated Python Scripts)، به مدت حدود 24 ساعت درخواستهای متعددی را از طریق رابط برنامهنویسی REST سیلزفورس به این سامانه ارسال کرد تا دادههای مشتریان را استخراج کند.
بر اساس تحلیل ReliaQuest، الگوی فعالیت مهاجم با استخراج انبوه دادهها مطابقت داشت و با ترافیک عادی یکپارچهسازی تفاوت محسوسی نشان میداد. این شرکت تأکید کرد بدون ثبت و بررسی لاگهای لایه API تشخیص این الگوی فعالیت تقریباً غیرممکن بود.
ReliaQuest از سازمانهایی که از یکپارچهسازی Klue با سیلزفورس استفاده میکنند، خواست برای کاهش ریسک، اقدامات زیر را انجام دهند:
- ابطال و جایگزینی تمامی توکنهای OAuth و رفرش توکنها (Refresh Tokens) مرتبط با این یکپارچهسازی.
- بررسی لاگهای API سیلزفورس برای شناسایی حجم غیرعادی درخواستها و فعالیتهای مشکوک.
- محدود کردن دسترسی حسابهای مربوط به یکپارچهسازیهای شخص ثالث به محدودههای IP مجاز.
ReliaQuest در پایان هشدار داد: «هر اپلیکیشن شخص ثالث که از طریق OAuth به یک پلتفرم حیاتی مانند سیلزفورس دسترسی دارد، بخشی از سطح حمله (Attack Surface) سازمان محسوب میشود. بنابراین این اپلیکیشنها باید بهدقت شناسایی و بررسی شوند، فعالیت آنها بهطور مستمر بررسی شود و دسترسی آنها بر اساس اصل حداقل سطح دسترسی تنظیم گردد.»
چه اطلاعاتی از مشتریان Klue افشا شد؟
شرکت امنیت سایبری Huntress تأیید کرد که یکی از مشتریان Klue بوده و در این رخداد تحت تأثیر قرار گرفته است. به گفته این شرکت، مهاجمان با سوءاستفاده از توکنهای OAuth به اطلاعاتی شامل اطلاعات تماس تجاری، پیشنهادهای قیمت (Price Quotes) و سوابق ارتباطات فروش ذخیرهشده در حساب سیلزفورس دسترسی پیدا کردند.
Huntress در عین حال تأکید کرد رمزهای عبور، اطلاعات کارتهای پرداخت، دادههای هوش تهدید (Threat Intelligence) و دادههای تلهمتری محصولات در این رخداد افشا نشدهاند و هیچگونه دسترسی غیرمجازی به محصولات یا زیرساختهای این شرکت صورت نگرفته است.
شرکت امنیت سایبری Recorded Future نیز اعلام کرد بخشی از دادههای موجود در حساب سیلزفورس این شرکت در معرض دسترسی غیرمجاز قرار گرفته است.
Recorded Future در بیانیه خود اعلام کرد: «تمام شواهد موجود نشان میدهد این شرکت هدف مستقیم مهاجمان نبوده و صرفاً به دلیل استفاده از یکپارچهسازی آلوده میان سیلزفورس و Klue، بهصورت ناخواسته تحت تأثیر این رخداد قرار گرفته است. »
به گفته این شرکت، دامنه اطلاعات افشاشده به نام مخاطبان، آدرسهای ایمیل و احتمالاً بخشی از اطلاعات قراردادها محدود بوده و هیچ نشانهای از دسترسی به سایر دادههای حساس مشاهده نشده است.
الگوی حمله مبتنی بر سوءاستفاده از توکنهای OAuth
شرکت امنیت سایبری Huntress در بررسیهای خود، این حمله را به یک گروه اخاذی نوظهور با نام Icarus نسبت داد. به گفته این شرکت، شناسههای پیامرسان Session که در ایمیلهای اخاذی مورد استفاده قرار گرفته بودند، با شناسههای منتشرشده در وبسایت افشای اطلاعات این گروه در دارک وب مطابقت داشتند.
بر اساس گزارش Huntress، گروه Icarus در 19 ژوئن نام Klue را در وبسایت خود منتشر کرد و مدعی شد دادههای سیلزفورس متعلق به تعدادی از شرکتهای همکار تجاری Klue را استخراج کرده است.
همچنین Huntress هشدار داد این گروه ممکن است بهطور مستقیم با سازمانهای متأثر از این رخداد تماس بگیرد. از همین رو، به مشتریان Klue توصیه شده است پیامها و ایمیلهای ناشناس را با دقت بررسی کنند و پوشه اسپم (Spam) خود را نیز برای یافتن پیامهای مرتبط کنترل کنند.
به گفته Huntress، شیوه اجرای این حمله از نظر سوءاستفاده از توکنهای OAuth شباهت زیادی به رخدادهای سال 2025 علیه Salesloft، Drift و Gainsight دارد؛ حملاتی که پیشتر به گروههای ShinyHunters و UNC6395 نسبت داده شده بودند. با این حال، این شرکت اعلام کرد شواهد موجود برای انتساب مستقیم حمله به Klue به هیچیک از این دو گروه کافی نیست.
Huntress در پایان هشدار داد: «سوءاستفاده از OAuth اکنون به روشی تکرارپذیر و مؤثر و یکی از تاکتیکهای رایج مهاجمان سایبری تبدیل شده است. »