اختراق Klue يمنح قراصنة Icarus مفاتيح بيانات Salesforce

أبرز النقاط

• مجموعة Icarus استغلت ثغرة في Klue لسرقة بيانات Salesforce من عدة مؤسسات
• Salesforce علّقت تكامل Klue Battlecards فوراً لحماية العملاء
• المهاجمون استخدموا بيانات اعتماد خاملة ونشروا تحديثاً خبيثاً لسرقة رموز OAuth

كشف اختراق Klue عن ثغرة أمنية خطيرة مكّنت مجموعة تهديد جديدة تُعرف باسم Icarus من سرقة بيانات Salesforce من مؤسسات متعددة، في حملة ابتزاز نشطة بدأت تطال شركات كبرى. الهجوم استغل رموز OAuth المرتبطة بتكامل Klue Battlecards مع منصات العملاء، ما أتاح للمهاجمين الوصول المباشر إلى بيئات Salesforce دون الحاجة لاختراق كل مؤسسة على حدة.

كيف نفّذ المهاجمون عملية السرقة؟

وفقاً لتقارير شركتي ReliaQuest وHuntress الأمنيتين، بدأ المهاجمون باختراق الأنظمة الخلفية لمنصة Klue، ثم نشروا تحديثاً برمجياً خبيثاً استولى على رموز OAuth التي يستخدمها العملاء لربط منتج Battlecards بمنصات خارجية. اللافت أن المهاجمين استغلوا بيانات اعتماد خاملة أنشأتها Klue سابقاً لتكامل تجريبي، لكنها بقيت نشطة دون إلغاء.

بمجرد الحصول على رموز OAuth، استخدم المهاجمون سكربتات Python آلية لاستعلام واجهة Salesforce REST API على مدار 24 ساعة تقريباً. بدأوا باستطلاع بنية بيانات المؤسسات المستهدفة عبر نقطة النهاية /services/data/v59.0/sobjects، ثم انتقلوا لسحب البيانات عبر /services/data/v59.0/query.

أشارت ReliaQuest إلى أن المهاجمين اتبعوا نهجاً من مرحلتين: مرحلة أولى بطيئة ومنهجية لرسم خريطة الكائنات القيّمة في Salesforce، ثم مرحلة ثانية متفجرة ضحّوا فيها بالتخفي مقابل السرعة. في إحدى الحالات، استمر سحب البيانات 6 ساعات متواصلة.

من هي مجموعة Icarus؟

Icarus مجموعة ابتزاز ظهرت في أبريل 2026، وتختلف عن مجموعة ShinyHunters المعروفة بهجمات مشابهة على تكاملات Salesforce. رغم التشابه في الأساليب، أكدت مصادر مطلعة أن Icarus هي المسؤولة عن هذه الحملة تحديداً.

بدأت المجموعة بإرسال رسائل ابتزاز إلكترونية لعملاء Klue المتضررين، مستخدمةً الاسم المستعار mr bean وتطبيق Session للتواصل المشفر. موقع التسريبات الخاص بهم نشر رسالة مقتضبة بعنوان Get Ready تُلمّح إلى أن شركات كبرى ستُدرج قريباً.

حتى الآن، أدرجت Icarus ضحيتين على موقعها، وأكدت المصادر أن إحداهما مرتبطة مباشرة بحملة Klue. إزالة تلك الشركة لاحقاً من الموقع قد تشير إلى مفاوضات جارية.

Huntress تعترف: نحن من الضحايا

في خطوة شفافة نادرة، أعلنت شركة Huntress الأمنية أنها من بين المؤسسات المتضررة، مؤكدةً تلقيها رسالة ابتزاز مطابقة. معرّف Session المستخدم في الرسائل اللاحقة تطابق مع المعرّف المنشور على موقع Icarus، ما عزز نسب الهجوم للمجموعة.

استجابة Salesforce وKlue

تحركت Salesforce فوراً بتعليق اتصال تطبيق Klue Battlecards بمنصتها، مُصدرةً بياناً يؤكد أن المؤسسات لن تتمكن من الاتصال عبر التطبيق حتى إشعار آخر. من جانبها، عطّلت Klue تكاملاتها مع Salesforce وHubSpot وSharePoint وZoom وGong وChorus وClari وGoogle Drive وSlack أثناء التحقيق.

• Salesforce علّقت تكامل Klue Battlecards كإجراء احترازي
• Klue عطّلت 9 تكاملات مع منصات خارجية أثناء الاستجابة للحادثة
• المؤسسات المتضررة تتلقى رسائل ابتزاز مباشرة من Icarus

لماذا يهم هذا الاختراق المنطقة؟

تعتمد مؤسسات كثيرة في الخليج على Salesforce كعمود فقري لإدارة علاقات العملاء، وتستخدم تكاملات طرف ثالث مثل Klue لتعزيز القدرات التنافسية. هذا الاختراق يكشف خطراً غالباً ما يُغفل: سلسلة التوريد البرمجية. حتى لو كانت بنيتك التحتية محصّنة، فإن أي تكامل خارجي ضعيف الحماية يصبح بوابة للمهاجمين.

الأسئلة الشائعة

ما هو تكامل Klue Battlecards؟

أداة استخبارات تنافسية تتكامل مع Salesforce لتزويد فرق المبيعات ببطاقات معلومات عن المنافسين مباشرة داخل نظام CRM.

هل بياناتي في Salesforce معرضة للخطر؟

إذا كنت تستخدم تكامل Klue Battlecards، راجع سجلات الوصول فوراً وتواصل مع فريق الأمن لديك. Salesforce علّقت التكامل احترازياً.

كيف أحمي مؤسستي من هجمات OAuth المشابهة؟

راجع جميع التكاملات الخارجية دورياً، ألغِ بيانات الاعتماد غير المستخدمة، وطبّق مبدأ أقل صلاحية ممكنة لكل تطبيق طرف ثالث.

هل مجموعة Icarus مرتبطة بـ ShinyHunters؟

لا توجد أدلة على ارتباط مباشر رغم تشابه الأساليب. Icarus مجموعة مستقلة ظهرت في أبريل 2026.