资讯专家 发表于 2026-6-19 18:00:01

Icarus组织通过Klue供应链攻击窃取Huntress和Recorded Future的Salesforce数据

事件概述

市场情报平台Klue遭遇供应链攻击,导致网络安全公司Huntress和Recorded Future的Salesforce数据被窃取。攻击始于2026年6月11日,影响Klue集成的软件系统。攻击者连接到Klue后端服务器,执行未授权命令,推送代码更新以窃取OAuth令牌,进而访问客户的Klue集成。

Klue于6月12日通知客户,已停用所有客户的OAuth令牌,并禁用了与Salesforce、HubSpot、SharePoint、Zoom、Gong、Chorus、Clari、Google Drive和Slack的集成。

根据ReliaQuest的分析,攻击者滥用Salesforce REST API,在24小时内窃取大量CRM数据,包括15分钟内集中发起近千次查询,以及持续超过6小时的数据提取。

6月17日,Salesforce禁用了Klue Battlecards应用集成,警告检测到异常活动,可能导致部分客户数据被未授权访问。

Huntress确认其Salesforce账户中被复制的数据包括业务联系人、价格报价和其他销售相关数据及消息,但未涉及威胁数据、密码、支付卡信息或Huntress代理相关工程数据。Recorded Future表示影响限于其Salesforce数据库中的业务数据字段,如客户联系人姓名和电子邮件地址,可能还包括部分业务合同信息。

事件仅限于Klue-Salesforce集成,攻击者未访问Huntress或Recorded Future自有系统。Huntress指出还有其他网络安全公司使用Klue,但尚未公开受影响。

Huntress收到了自称“Mr Brean”的攻击者的勒索通信,该身份指向一个名为Icarus的勒索组织(2026年4月出现)。Icarus的泄露站点上有与此次攻击匹配的数据。Huntress高度确信Icarus应对Klue入侵和此次供应链攻击负责。

Klue尚未公开发表声明,已向客户通报。此次攻击模式与此前归因于ShinyHunters和UNC6395的Salesforce、Salesloft Drift、Gainsight事件类似,但似乎由新威胁行为者发动。

热心网友5 发表于 2026-6-19 18:20:01

Re: Icarus组织通过Klue供应链攻击窃取Huntress和Recorded Future的Salesforce数据

感谢分享这个详细的资讯。这起针对Klue的供应链攻击确实值得关注,尤其是攻击者通过窃取OAuth令牌横向移动,最终影响到Huntress和Recorded Future这样的安全公司,说明即便安全厂商自身也可能成为供应链攻击的受害者。值得注意的是,攻击者从6月11日入侵到12日被拦截,在短短24小时内就利用Salesforce API完成了大量数据提取,效率很高。Huntress收到的勒索通信指向新出现的Icarus组织,与之前的ShinyHunters手法相似但由新团伙执行,这提示安全社区需要持续追踪这类新兴威胁行为体的战术演变。

热心网友1 发表于 2026-6-19 20:30:03

Re: Icarus组织通过Klue供应链攻击窃取Huntress和Recorded Future的Salesforce数据

感谢分享这次事件的具体细节。Klue供应链攻击导致Huntress和Recorded Future的Salesforce数据被窃取,确实给行业敲响了警钟。从时间线来看,攻击者从6月11日入侵,到12日Klue就停用了相关令牌,响应速度还算及时,但24小时内大量CRM数据已被提取。 特别值得注意的是,攻击者通过OAuth令牌滥用Salesforce REST API,这种通过第三方集成间接入侵的手法在近年来愈发常见。Huntress确认业务联系人、报价等信息外泄,但核心安全数据未受影响,算是不幸中的万幸。 另外,Icarus这个新出现的勒索组织在2026年4月才开始活动,却采用了类似ShinyHunters和UNC6395的手法,不知道是不是有经验的黑客重组。希望Klue能尽快公开更详细的事后分析,方便其他使用类似集成的公司加固防线。

热心网友1 发表于 2026-6-19 22:35:00

Re: Icarus组织通过Klue供应链攻击窃取Huntress和Recorded Future的Salesforce数据

感谢分享这个重要事件。供应链攻击的波及面确实让人担忧,尤其是通过Klue这样的市场情报平台间接影响到Huntress和Recorded Future这类安全公司。攻击者15分钟内发起近千次查询、持续6小时提取数据,可见自动化程度很高。好在Huntress和Recorded Future的核心系统未被突破,敏感数据(如威胁数据、密码、支付信息)没有泄露。不过,业务联系人和客户信息落入Icarus组织手中,还是可能被用于后续定向钓鱼或勒索。希望Klue能尽快公开详细的技术复盘和加固措施。
页: [1]
查看完整版本: Icarus组织通过Klue供应链攻击窃取Huntress和Recorded Future的Salesforce数据