Klue 이중 갈취 사태: 해커 Icarus가 고객 데이터를 자진 삭제하는 가운데, 제2의 해커 집단이 195개 피해 기업에 직접 몸값 요구

반전: Icarus가 데이터를 삭제하는 가운데 제2의 집단 등장

Icarus의 데이터 삭제. TechCrunch가 입수한 6월 25일자 고객 업데이트에서 Klue는 "Icarus가 Klue 고객으로부터 가져간 데이터를 삭제하는 조치를 취하고 있다고 알려왔습니다. Icarus 사이트는 계속 다운된 상태이며, Icarus가 실제로 데이터를 삭제하고 있다는 징후가 있습니다"라고 밝혔습니다 .

제2의 신원 미상 집단 등장. Icarus가 데이터를 폐기하는 것으로 보임에도 불구하고, 제2의 신원 미상 해커 집단이 도난 정보의 일부 이상을 확보하여 Klue 고객들을 직접 갈취하고 있습니다 . Klue의 목요일 업데이트에 따르면, "Icarus는 다른 쪽이 데이터 샘플만 가지고 있으며, 기회를 틈타 사기적으로 다수의 고객에게 직접 대가를 요구하고 있다고 알려왔습니다" . 이 제2의 집단은 자체 갈취 사이트에 피해를 입었다고 주장하는 기업 목록을 게시했습니다 .

195개 조직 피해 확인

여러 보도에 따르면 약 195개 조직의 데이터가 도난당했습니다. The Register는 '수백' 명의 피해자가 발생했다고 보도했으며 , 다른 소식통들은 195개 기업이 직접 갈취 요구를 받았다고 특정했습니다. 확인된 피해 기업으로는 Huntress, Recorded Future, HackerOne, Jamf, Tanium, Gong, OneTrust, Snyk, Sprout Social, Insurity 등이 포함됩니다 . LastPass는 제공된 소스의 공개 목록에 포함되지 않았습니다.

공격 작동 방식

• 진입: 공격자들은 오랫동안 사용되지 않던, 폐기된 통합 서비스와 관련된 손상된 API 자격 증명을 사용하여 Klue의 백엔드에 접근했습니다 .
• 토큰 수집: 고객이 Salesforce 및 기타 플랫폼(Gong 포함)에 연결하기 위해 Klue에 부여한 OAuth 토큰을 수집하는 악성 코드가 설치되었습니다 .
• 데이터 유출: 획득한 토큰을 사용하여 공격자들은 연결된 Salesforce 조직에 대해 자동화된 쿼리를 수행, CRM 데이터를 대량으로 추출했습니다 .
• SaaS 공급망 손상: 이 사건은 타사 통합을 통한 공급망 공격으로 설명됩니다. Klue는 Klue 플랫폼 자체에 저장된 고객 콘텐츠는 영향을 받지 않았다고 밝혔습니다 .

Klue의 공식 지침: 고객들에게 지급하지 말라고 권고

CrowdStrike 지원. Klue는 수사를 지원하고 대응 조치를 검증하기 위해 "CrowdStrike를 고용"했다고 공개적으로 확인했습니다 . 회사는 영향을 받은 자격 증명과 토큰을 폐기하고, 무단 코드를 제거하며, 영향을 받은 통합을 비활성화하고, 법 집행 기관에 통보하는 등 즉각적인 조치를 취했습니다 .

두 번째 갈취 집단에 대한 조언. 6월 25일 업데이트에서 Klue는 고객들에게 제2의 신원 미상 집단에 대가를 지급하지 말 것을 권고했습니다. 대신 Klue는 영향을 받은 고객들이 갈취 요구에 응하기 전에 데이터 샘플 증거를 요구하고, 그러한 모든 연락을 확인을 위해 Klue나 법 집행 기관에 전달할 것을 권장했습니다 . 회사는 두 번째 집단이 데이터의 '샘플'만을 보유하고 있으며 기회주의적이고 사기적으로 행동하고 있다고 강조했습니다 .

지속적인 개선 작업. Klue는 추가 보호 조치를 구현하기 위해 보안 통제, 자격 증명 관리, 모니터링 및 배포 프로세스에 대한 전면적인 검토를 진행 중입니다 .