클루 OAuth 유출, ‘이카루스’ 사일즈포스 데이터 절도 공격과 연계
Source: Bleeping Computer
마켓 인텔리전스 플랫폼인 Klue가 OAuth 취약점으로 인해 “Icarus”라는 위협 행위자들이 Salesforce CRM 데이터를 여러 조직에서 빼앗을 수 있게 하여, 지속적인 협박 캠페인의 일환으로 만들었다.
출처들은 BleepingComputer에対して 지난날 이 공격이 일어났다고 말했으며, 여러 조직들의 Salesforce 데이터가 빼앗겼으며, 새로운 협박 집단에 의해 현재 협박받고 있다고 전했습니다.
보안 기업인 ReliaQuest와 Huntress는 보안 사고를 확인하는 보고서를 각각 발표했으며, Huntress는 자신의 Salesforce 데이터가 이 공격에서 빼앗겼다고 밝혔습니다.
Salesforce는 해당 보안 사고 조사를 진행하는 동안 Klue Battlecards 통합을 플랫폼에서 비활성화했습니다.
“우리 고객을 보호하기 위해, Salesforce는 최근 발생한 보안 사고에 대한 대응으로 Klue Battlecards 앱(개별 고객이 설치한 앱)과 Salesforce 간 연결을 비활성화했습니다.” Salesforce는 지난날 경고했습니다.
“결과적으로, 조직들은 이 앨을 통해 Salesforce에 연결할 수 없게 되었으며, 추가 공지가 있을 때까지는 연결이 불가능합니다.”
이 사건에 대한 정보나 기타 비공개 공격에 관한 내용이 있다면 신호(Signal)로 646-961-3731 또는 tips@bleepingcomputer.com 으로 안전하게 연락해 주시기 바랍니다.
절취된 OAuth 자격 증명 사용하여 Salesforce 데이터 절취
ReliaQuest는 공격자들이 Klue Battlecards 통합 서비스 계정에 접근했다고 밝혔으며, 이를 통해 고객 Salesforce 인스턴스와 연결된 OAuth 토큰을 이용해 데이터를 절취했습니다.
연구자들은 위협 행위자들이 OAuth 토큰을 생성하고 자동화된 파이썬 스크립트를 사용해 Salesforce REST API를 거의 24시간 동안 쿼리했다고 관찰했습니다.
이 활동은 먼저 ‘/services/data/v59.0/sobjects’ 엔드포인트를 통해 조직의 Salesforce 인스턴스를 스캔하고, 그 후 ‘/services/data/v59.0/query’를 이용해 데이터를 추출하는 방식으로 시작되었습니다.
ReliaQuest는 한 조직에서는 공격자들이 Salesforce 객체를 천천히 매핑해 가치 있는 객체를 식별한 뒤, 원하는 것을 알게 되자 신속하게 데이터를 절취했다고 말했습니다.
“공격자는 같은 엔드포인트에 대해 15분 안에 거의 천 건의 쿼리를 보냈으며, 최소 한 환경에서는 그러했습니다,” ReliaQuest가 설명했습니다.
“첫 단계는 은밀히 진행되도록 설계된 느린 꾸준한 끌어당김이었으며, 이 급격한 증가는 은밀성을 sacrificing(협박) 속도를 위해 이루어졌으며, 이는 시간 압박 또는 타깃 레코드 이동을 시사합니다. 또 다른 경우, 추출 작업은 6시간 동안 지속되었습니다.”
연구자들은 이 활동이 이전의 Salesforce 서드파티 통합 데이터 절취 공격과 ShinyHunters 협박 집단에 의해 수행된 것과 유사하다고 말했지만, 위협 행위자를 특정할 수는 없었습니다.
하지만 BleepingComputer는 지난날 ShinyHunters가 이 공격의 배후가 아니며, “Icarus”라는 상대적으로 새로운 위협 행위자가 이미 Klue 고객을 대상으로 한 협박 메일을 보냈다는 사실을 알게 되었습니다.
BleepingComputer와 공유된 몸값 요구서에는 이메일이 ‘mr bean’이라는 별명으로 발송되었고, Session Messenger ID도 포함되어 있었다는 내용이 담겨 있었습니다.
Icarus勒索 이메일 출처: BleepingComputer
위협 행위자들의 데이터 유출 사이트에도 “Get Ready”(준비하라)라는 간단한 제목의 포스트가 있으며, “대형 기업이 리스팅됨. 준비하라.” 라고 경고하고 있습니다.
Icarus 데이터 유출 사이트 메시지 출처: BleepingComputer
Icarus는 2026년 4월경 시작된 것으로 추정되며, 초기에는其二(두 개) 피해자를 데이터 유출 사이트에 게시했으며, BleepingComputer은 그 중 최소 하나는 Klue 캠페인과 연관되어 있음을 확인했습니다. 해당 회사는 현재 데이터 유출 사이트에서 제거되었으며, 이는 협상이 진행 중일 수 있음을 시사합니다.
오늘 Huntress는 Klue breach에 영향을 받은 조직 중 하나임을 확인하며, BleepingComputer에서 본 것과 유사한 협박 이메일을 받았다고 밝혔습니다. 다만, 이후 이메일에 사용된 Session ID는 달랐으며, Icarus 데이터 유출 사이트에 표시된もの와 일치했으며, 이는 그들이 공격의 배후에 있음을 추가로 입증합니다.
“초기 이메일에서 적대자는 ‘우리에게 Session에 쓰라고 하라’(오타)라고 제안했습니다,” Huntress가 보고했습니다.
“제공된 Session Messenger ID는 새로운 협박 집단인 ‘Icarus’의 암웹 데이터 유출 사이트에 게시된 동일한 값을 포함하고 있었습니다.”
Huntress에 따르면, Klue는 고객에게 공격자들이 먼저 회사의 백엔드 시스템을 침해한 뒤, Battlecards 제품과 제3자 플랫폼을 통합하는 데 사용되는 OAuth 토큰을 빼앗은 악성 코드 업데이트를 배포했다고 알렸습니다.
공격자들은 Klue가 프로토타입 통합용으로 만든 비활성화되었지만 여전히 활성화된 자격 증명을 이용했습니다. Klue 환경에 접근한 후, 그들은 고객 OAuth 토큰을 훔쳐 연결된 Salesforce 환경을 직접 쿼리했습니다.
Klue는 이 사건에 대응해 Salesforce, HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive, Slack과의 통합을 차단했습니다.
Huntress는 절취된 데이터가 비즈니스 연락처, 영업 통신, 가격 견적, 경쟁 정보 보고서, 계정 데이터 등 CRM 관련 정보를 포함하고 있다고 밝혔습니다.
해당 사이버 보안 기업은 위협 인텔리전스, 고객 텔레메트리, 비밀번호, 결제 카드 정보, 엔지니어링 시스템이 침해되지 않았다는 증거가 없다는 점을 밝혔습니다.
ReliaQuest와 Huntress는 공격과 연관된 IP 주소를 공유했으며, 아래에 나열되어 있습니다:
138.226.246.94
212.86.125.24
213.111.148.90
94.154.32.160Klue 통합을 사용하는 조직들은 이러한 IP 주소에서 발생하는 활동을 검토하고, OAuth 토큰을 무효화·회전시키고, 활성 세션을 종료하며, Salesforce 로그에서 비정상적인 API 활동을 확인하길 권고합니다.
테스트: 모든 레이어를 공격자보다 먼저 테스트하세요
Picus 백서는 보안 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 테스트하여 위협이 감지되지 않도록 차단함을 보여줍니다.