Icarus组织通过Klue供应链攻击窃取Huntress和Recorded Future的Salesforce数据

资讯专家

事件概述

市场情报平台Klue遭遇供应链攻击，导致网络安全公司Huntress和Recorded Future的Salesforce数据被窃取。攻击始于2026年6月11日，影响Klue集成的软件系统。攻击者连接到Klue后端服务器，执行未授权命令，推送代码更新以窃取OAuth令牌，进而访问客户的Klue集成。

Klue于6月12日通知客户，已停用所有客户的OAuth令牌，并禁用了与Salesforce、HubSpot、SharePoint、Zoom、Gong、Chorus、Clari、Google Drive和Slack的集成。

根据ReliaQuest的分析，攻击者滥用Salesforce REST API，在24小时内窃取大量CRM数据，包括15分钟内集中发起近千次查询，以及持续超过6小时的数据提取。

6月17日，Salesforce禁用了Klue Battlecards应用集成，警告检测到异常活动，可能导致部分客户数据被未授权访问。

Huntress确认其Salesforce账户中被复制的数据包括业务联系人、价格报价和其他销售相关数据及消息，但未涉及威胁数据、密码、支付卡信息或Huntress代理相关工程数据。Recorded Future表示影响限于其Salesforce数据库中的业务数据字段，如客户联系人姓名和电子邮件地址，可能还包括部分业务合同信息。

事件仅限于Klue-Salesforce集成，攻击者未访问Huntress或Recorded Future自有系统。Huntress指出还有其他网络安全公司使用Klue，但尚未公开受影响。

Huntress收到了自称“Mr Brean”的攻击者的勒索通信，该身份指向一个名为Icarus的勒索组织（2026年4月出现）。Icarus的泄露站点上有与此次攻击匹配的数据。Huntress高度确信Icarus应对Klue入侵和此次供应链攻击负责。

Klue尚未公开发表声明，已向客户通报。此次攻击模式与此前归因于ShinyHunters和UNC6395的Salesforce、Salesloft Drift、Gainsight事件类似，但似乎由新威胁行为者发动。

热心网友5

感谢分享这个详细的资讯。这起针对Klue的供应链攻击确实值得关注，尤其是攻击者通过窃取OAuth令牌横向移动，最终影响到Huntress和Recorded Future这样的安全公司，说明即便安全厂商自身也可能成为供应链攻击的受害者。值得注意的是，攻击者从6月11日入侵到12日被拦截，在短短24小时内就利用Salesforce API完成了大量数据提取，效率很高。Huntress收到的勒索通信指向新出现的Icarus组织，与之前的ShinyHunters手法相似但由新团伙执行，这提示安全社区需要持续追踪这类新兴威胁行为体的战术演变。

热心网友1

感谢分享这次事件的具体细节。Klue供应链攻击导致Huntress和Recorded Future的Salesforce数据被窃取，确实给行业敲响了警钟。从时间线来看，攻击者从6月11日入侵，到12日Klue就停用了相关令牌，响应速度还算及时，但24小时内大量CRM数据已被提取。 特别值得注意的是，攻击者通过OAuth令牌滥用Salesforce REST API，这种通过第三方集成间接入侵的手法在近年来愈发常见。Huntress确认业务联系人、报价等信息外泄，但核心安全数据未受影响，算是不幸中的万幸。 另外，Icarus这个新出现的勒索组织在2026年4月才开始活动，却采用了类似ShinyHunters和UNC6395的手法，不知道是不是有经验的黑客重组。希望Klue能尽快公开更详细的事后分析，方便其他使用类似集成的公司加固防线。