สรุปสั้น

แพลตฟอร์ม market intelligence ของบริษัท Klue ถูกเจาะระบบ backend โดยผู้โจมตีใช้ credential เก่าที่สร้างไว้สำหรับ prototype integration ที่ไม่ได้ใช้งานแล้วแต่ยังเปิดอยู่ เพื่อเข้าถึงระบบของ Klue จากนั้นดัน malicious code update ที่ขโมย OAuth token ซึ่งลูกค้าใช้เชื่อมต่อผลิตภัณฑ์ Klue Battlecards กับแพลตฟอร์มภายนอก ผู้โจมตีนำ OAuth token เหล่านี้ไปใช้กับ automated Python script เพื่อ query Salesforce REST API ของลูกค้าหลายองค์กรติดต่อกันเกือบ 24 ชั่วโมง ดึงข้อมูล business contacts, sales communications, price quotes, competitive intelligence reports และ account data ออกไป

กลุ่มผู้โจมตีที่อยู่เบื้องหลังคือ Icarus ซึ่งเป็นกลุ่ม extortion ใหม่ที่เริ่มปฏิบัติการเมื่อเมษายน 2569 ได้เริ่มส่งอีเมลเรียกค่าไถ่ไปยังลูกค้า Klue ที่ได้รับผลกระทบ บริษัท Huntress ซึ่งเป็นบริษัทด้านความปลอดภัยไซเบอร์ยืนยันว่าตนเองก็ตกเป็นเหยื่อในเหตุการณ์นี้ด้วย บริษัท Salesforce ได้ปิดการเชื่อมต่อระหว่างแอป Klue Battlecards กับแพลตฟอร์มจนกว่าจะสอบสวนเสร็จ และ Klue ได้ปิด integration กับ Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive และ Slack ทั้งหมดระหว่างตอบสนองเหตุการณ์

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่าแพลตฟอร์ม market intelligence ของบริษัท Klue ถูกเจาะระบบ OAuth ทำให้กลุ่มผู้โจมตี Icarus สามารถขโมยข้อมูล Salesforce CRM จากหลายองค์กรในแคมเปญ extortion ที่ยังดำเนินอยู่ บริษัท ReliaQuest และบริษัท Huntress ต่างเผยแพร่รายงานยืนยันเหตุการณ์นี้ โดย Huntress ระบุว่าข้อมูล Salesforce ของตนเองก็ถูกขโมยไปด้วย

ตามรายงานของ ReliaQuest ผู้โจมตีเข้าถึง Klue Battlecards integration service accounts แล้วใช้ OAuth token ที่เชื่อมกับ Salesforce instance ของลูกค้าเพื่อขโมยข้อมูล นักวิจัยพบว่าผู้โจมตีสร้าง OAuth token แล้วใช้ automated Python script query Salesforce REST API เกือบ 24 ชั่วโมง เริ่มจากสำรวจ Salesforce objects ผ่าน endpoint /services/data/v59.0/sobjects ก่อนขโมยข้อมูลผ่าน /services/data/v59.0/query ในกรณีหนึ่ง ผู้โจมตีค่อยๆ map Salesforce objects เพื่อระบุเป้าหมายที่มีค่า จากนั้นส่ง query เกือบ 1,000 รายการภายใน 15 นาที สะท้อนถึงการเปลี่ยนจากการสำรวจอย่างช้าๆ ไปสู่การขโมยข้อมูลอย่างรวดเร็ว

Huntress เปิดเผยว่า Klue แจ้งลูกค้าว่าผู้โจมตีเจาะระบบ backend ของบริษัทก่อน แล้วดัน malicious code update ที่ขโมย OAuth token ที่ลูกค้าใช้เชื่อมต่อผลิตภัณฑ์ Battlecards กับแพลตฟอร์มภายนอก ผู้โจมตีใช้ credential เก่าที่สร้างสำหรับ prototype integration ที่ไม่ได้ใช้งานแต่ยังเปิดอยู่ ข้อมูลที่ถูกขโมยรวมถึง business contacts, sales communications, price quotes, competitive intelligence reports และ account data แต่ไม่พบหลักฐานว่า threat intelligence, customer telemetry, รหัสผ่าน, ข้อมูลบัตรชำระเงิน หรือระบบ engineering ถูกเข้าถึง

วิธีการโจมตี

ผู้โจมตีใช้ dormant credential ที่ Klue สร้างไว้สำหรับ prototype integration เป็นจุดเข้าถึงเริ่มต้น หลังเข้าถึงระบบ backend ของ Klue ได้แล้ว ผู้โจมตีดัน malicious code update เพื่อขโมย OAuth token ของลูกค้าที่ใช้เชื่อมต่อ Klue Battlecards กับ Salesforce และแพลตฟอร์มอื่น จากนั้นใช้ automated Python script สร้าง OAuth token ใหม่และ query Salesforce REST API โดยตรง โดยเริ่มจากสำรวจ Salesforce objects อย่างช้าๆ เพื่อ blend in กับ traffic ปกติ แล้วเปลี่ยนไปสู่การดึงข้อมูลอย่างรวดเร็วเมื่อระบุเป้าหมายที่มีค่าได้แล้ว

กลุ่ม Icarus ซึ่งเชื่อว่าเริ่มปฏิบัติการเมื่อเมษายน 2569 ส่งอีเมลเรียกค่าไถ่โดยใช้นามแฝง “mr bean” พร้อม Session Messenger ID สำหรับติดต่อ เว็บไซต์ data leak ของกลุ่มมีข้อความ “Get Ready” ระบุว่า “big corps getting listed. be ready.” ReliaQuest ตั้งข้อสังเกตว่ารูปแบบการโจมตีคล้ายกับเหตุการณ์ขโมยข้อมูลผ่าน Salesforce third-party integration ของกลุ่ม ShinyHunters ก่อนหน้านี้ แต่ไม่สามารถยืนยันความเชื่อมโยงได้

ผลกระทบต่อไทย

องค์กรไทยจำนวนมากใช้ Salesforce CRM เป็นระบบจัดการลูกค้าหลัก โดยเฉพาะในภาคธนาคาร ประกันภัย โทรคมนาคม และอีคอมเมิร์ซ เหตุการณ์นี้เป็นตัวอย่างของ supply chain attack ผ่าน third-party integration ที่แม้องค์กรจะรักษาความปลอดภัยของ Salesforce ตนเองอย่างดี แต่ก็อาจถูกขโมยข้อมูลผ่าน OAuth token ที่ให้กับ vendor ภายนอก องค์กรไทยควรทบทวน third-party integration ทั้งหมดที่เชื่อมต่อกับ Salesforce และ CRM อื่น โดยเฉพาะ integration ที่ไม่ได้ใช้งานแล้วแต่ยังเปิดอยู่

คำแนะนำ

องค์กรที่ใช้ Klue integration ควรตรวจสอบ Salesforce log และ SaaS log อื่นสำหรับกิจกรรมที่มาจาก IP address ที่เกี่ยวข้อง ได้แก่ 138.226.246.94, 212.86.125.24, 213.111.148.90 และ 94.154.32.160 ควร revoke และ rotate OAuth token ทั้งหมด ยกเลิก session ที่ active อยู่ และตรวจสอบ Salesforce log สำหรับ API activity ที่ผิดปกติ สำหรับทุกองค์กร ควรทบทวน third-party integration ที่เชื่อมกับ CRM เป็นประจำ ลบ credential ที่ไม่ได้ใช้งาน และกำหนดนโยบาย least-privilege สำหรับ OAuth scope ที่ให้กับ vendor ภายนอก

Indicators of Compromise (IoCs)

ประเภทIndicatorรายละเอียด
IP Address138[.]226[.]246[.]94IP ที่เชื่อมโยงกับการขโมยข้อมูล
IP Address212[.]86[.]125[.]24IP ที่เชื่อมโยงกับการขโมยข้อมูล
IP Address213[.]111[.]148[.]90IP ที่เชื่อมโยงกับการขโมยข้อมูล
IP Address94[.]154[.]32[.]160IP ที่เชื่อมโยงกับการขโมยข้อมูล

หมายเหตุ: IP address ถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเข้าถึงโดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence เช่น MISP, VirusTotal หรือ SIEM เท่านั้น

แหล่งอ้างอิง