Storstilet legitimationstyverikampagne rettet mod Snowflake Cloud Storage
En ny rapport fra Mandiant har afsløret, at cirka 165 organisationer er blevet berørt af en storstilet kampagne, der udnytter stjålne kundeoplysninger til at målrette Snowflake-skylagringssystemer. Kampagnen tilskrives en økonomisk motiveret trusselsaktør identificeret som UNC5537.
Table of Contents
Hvordan angrebet forløb
UNC5537 har kompromitteret hundredvis af Snowflake-forekomster ved at bruge kundeoplysninger, der blev stjålet via infostealer-malware. Denne malware inficerede systemer, der ikke ejes af Snowflake, hvilket resulterede i uautoriseret adgang til kundekonti.
Mandiants undersøgelse fandt ingen beviser for et brud i Snowflakes virksomhedsmiljø. I stedet blev hver hændelse sporet tilbage til kompromitterede kundeoplysninger. Angrebene begyndte den 14. april og var rettet mod konti uden ordentlig multi-factor authentication (MFA) beskyttelse. Nogle af disse legitimationsoplysninger blev stjålet for år siden.
Kilde til de kompromitterede legitimationsoplysninger
Ifølge Mandiant kom de fleste af de legitimationsoplysninger, der blev brugt af UNC5537, fra historiske infostealer-infektioner, der går tilbage så langt som til 2020. Den malware, der blev brugt til at stjæle disse legitimationsoplysninger, omfattede Lumma, Meta, Racoon Stealer, Redline, Risepro og Vidar. Nogle entreprenørsystemer, der blev brugt til både professionelle og personlige aktiviteter, var også inficeret.
Sårbarheder udnyttet
De kompromitterede Snowflake-forekomster manglede MFA, brugte længe-eksponerede legitimationsoplysninger, der ikke var blevet roteret, og havde ikke netværkstilladelseslister. Ca. 80 % af konti havde forudgående akkrediteringseksponering.
UNC5537 fik adgang til de kompromitterede kundekonti gennem forskellige værktøjer, herunder den native webbaserede brugergrænseflade, kommandolinjeværktøjet SnowSQL, et brugerdefineret værktøj ved navn 'rapeflake' (også kendt som FrostBite) og databasestyringsværktøjet DBeaver Ultimate. Trusselsaktøren udførte SQL-kommandoer til rekognoscering og dataeksfiltrering.
Påvirkning og konsekvenser
UNC5537 har rettet sig mod hundredvis af organisationer over hele verden, og har eksfiltreret betydelige mængder data, som de har brugt til at afpresse ofreorganisationer. Gruppen forsøger aktivt at sælge stjålne data på cyberkriminelle fora. Medlemmer af UNC5537 opererer hovedsageligt i Nordamerika, med et medlem i Tyrkiet, og nogle er knyttet til andre kendte trusselsgrupper.
Bredere implikationer
Mandiant understregede, at den udbredte effekt af denne kampagne ikke skyldes nogen særligt nye eller sofistikerede værktøjer, men snarere er en konsekvens af den ekspanderende infostealer-markedsplads og forpassede muligheder for at sikre sig legitimationsoplysninger bedre. Højprofilerede ofre, der nævnes i kampagnen, omfatter Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive og State Farm.
