การโจมตีซัพพลายเชนของ Klue ทำให้บริษัทด้านความปลอดภัยหลายร้อยแห่งถูกละเมิดข้อมูล

การโจมตีระบบซัพพลายเชนของ Klue ทำให้ข้อมูลใน Salesforce ของลูกค้าหลายร้อยบริษัทถูกขโมยและถูกใช้เป็นเครื่องมือบังคับเรียกค่าไถ่ กลุ่มอาชญากรรมไซเบอร์ที่เรียกว่า Icarus ได้เผยชื่อเหยื่อหลายร้อยราย รวมถึงผู้ให้บริการด้านความปลอดภัยระดับโลกหลายบริษัท ทำให้องค์กรต่าง ๆ ต้องตรวจสอบระบบและเปลี่ยนรหัสผ่านใหม่ในทันที

Overview

การเจาะระบบเกิดขึ้นเมื่อวันที่ 11 มิถุนายน เมื่อผู้โจมตีเข้าถึงข้อมูลผ่าน credential เก่าที่ถูกใช้ในบริการเชื่อมต่อของ Klue กับแพลตฟอร์มภายนอก Klue พบการกระทำที่ไม่ได้รับอนุญาตในวันถัดมาและได้ทำการตัดการเชื่อมต่อกับบริการหลายตัวทันที รวมถึง Salesforce, Gong, HubSpot, SharePoint, และ Google Drive บริษัทจึงว่าจ้าง CrowdStrike ให้ช่วยสืบสวนและตอบสนองเหตุการณ์นี้

CEO ของ Klue, Jason Smith, ระบุในบล็อกโพสต์ว่า ผู้โจมตีใช้ OAuth token ที่ได้มาจาก credential ที่ถูกขโมยเพื่อเข้าถึงข้อมูลของลูกค้าในหลายระบบ การละเมิดครั้งนี้ทำให้ข้อมูลใน CRM ของลูกค้าบางส่วนถูกคัดลอกออกไปโดยไม่ได้รับความเสียหายต่อระบบผลิตภัณฑ์หรือโครงสร้างพื้นฐานของ Klue เอง

Key Details

• เหตุการณ์ถูกตรวจพบโดย Klue ภายในหนึ่งวันหลังจากการเจาะระบบ
• ผู้โจมตีใช้ legacy credential ที่เชื่อมต่อกับบริการของบุคคลที่สามเพื่อดึง OAuth tokens
• Klue ตัดการเชื่อมต่อกับระบบภายนอกทั้งหมดและทำงานร่วมกับ CrowdStrike เพื่อทำความสะอาดและเสริมความปลอดภัย

ตามข้อมูลจาก Mandiant CTO Charles Carmakal, องค์กรที่ใช้การเชื่อมต่อของ Klue ควรทำการตรวจสอบระบบโดยด่วนและตรวจสอบบันทึกการทำงานของแอปพลิเคชันเพื่อหาหลักฐานการรั่วไหลในช่วงหลายสัปดาห์ที่ผ่านมา รวมถึงการหมุนรหัสผ่านใหม่ตามระดับความเสียหายที่อาจเกิดขึ้น

Victims & Impact

หลายบริษัทด้านความปลอดภัยและซอฟต์แวร์เปิดเผยว่าข้อมูล CRM ของตนถูกขโมยผ่านการเชื่อมต่อของ Klue กับ Salesforce ได้แก่

• Huntress
• Recorded Future
• Tanium
• Jamf
• Gong
• HackerOne
• Kudelski Security
• Snyk
• Insurity
• Sprout Social

บริษัท Huntress ระบุว่า แม้ข้อมูลที่ถูกคัดลอกจะเป็นข้อมูลติดต่อธุรกิจ, ใบเสนอราคา, และข้อความการขาย แต่ไม่ได้รวมถึงข้อมูลความเสี่ยง, รหัสผ่าน, ข้อมูลบัตรเครดิต หรือข้อมูลวิศวกรรมของระบบตัวแทนและการเก็บข้อมูลการทำงานของผลิตภัณฑ์

Extortion Tactics

กลุ่ม Icarus เริ่มโพสต์ชื่อเหยื่อบนเว็บไซต์รั่วไหลของตนตั้งแต่ 28 เมษายน หลังจากเข้าถึงระบบของ Klue พวกเขาส่งอีเมลบังคับเรียกค่าไถ่ให้กับลูกค้าที่ได้รับผลกระทบ โดยใช้หัวข้อ “top secret email” ส่งจากผู้ส่งที่ระบุว่า “mr bean” ซึ่งมีการสะกดและไวยากรณ์ผิดพลาดอย่างชัดเจน

อีเมลบังคับเรียกค่าไถ่บ่งบอกว่าข้อมูล Salesforce ของผู้รับถูกดาวน์โหลดแล้วและจะเปิดเผยต่อสาธารณะภายใน 48 ชั่วโมงหากไม่ได้รับการติดต่อกลับผ่านแพลตฟอร์ม Session ผู้โจมตียังส่งอีเมลต่อเนื่องเพื่อแก้ไข Session ID ที่ผิดพลาด โดยใช้ภาษาที่ดูไม่เป็นมืออาชีพ

Analysis & Outlook

แม้ว่าการโจมตีครั้งนี้จะมีลักษณะคล้ายกับแคมเปญการใช้ OAuth ของบุคคลที่สามที่เกิดขึ้นในปี 2025 และ 2026 ตามที่ ReliaQuest รายงาน แต่กลุ่ม Icarus ยืนยันว่าเป็นผู้กระทำการโดยไม่เชื่อมโยงกับกลุ่ม ShinyHunters ที่เคยโจมตี Salesforce มาก่อน

การสืบค้น IP ที่ใช้เข้าถึงข้อมูลแสดงที่อยู่จาก เนเธอร์แลนด์, ฝรั่งเศส, และ ยูเครน อย่างไรก็ตาม ผู้เชี่ยวชาญระบุว่า ที่อยู่เหล่านี้อาจเป็น VPN หรือ Tor exit nodes ทำให้ไม่สามารถสรุปแหล่งที่มาที่แน่ชัดได้ การโจมตีแบบซัพพลายเชนเช่นนี้มักดึงความสนใจจากหน่วยงานบังคับใช้กฎหมายและนักวิเคราะห์ความปลอดภัยในระยะเวลาอันสั้น

คาดว่าในอนาคตอันใกล้จะมีการเปิดเผยข้อมูลเพิ่มเติมจากฝ่ายบังคับใช้กฎหมายและองค์กรความปลอดภัยที่ทำการสืบสวนต่อเนื่อง รวมถึงการออกแนวทางปฏิบัติที่เข้มงวดยิ่งขึ้นสำหรับการจัดการ credential และ OAuth token ของระบบเชื่อมต่อบุคคลที่สาม

Summary

การเจาะระบบของ Klue ทำให้ข้อมูล CRM ของลูกค้าหลายร้อยรายถูกขโมยและถูกนำไปบังคับเรียกค่าไถ่โดยกลุ่ม Icarus บริษัทที่ได้รับผลกระทบได้ยืนยันว่าข้อมูลสำคัญเช่นรหัสผ่านและข้อมูลการชำระเงินไม่ถูกรบกวน การตรวจสอบและปรับปรุงระบบการจัดการ credential เป็นสิ่งจำเป็นเพื่อป้องกันเหตุการณ์ลักษณะนี้ในอนาคต.