Groß angelegte Kampagne zum Diebstahl von Anmeldeinformationen zielt auf Snowflake-Cloud-Speicher ab
Ein neuer Bericht von Mandiant hat ergeben, dass etwa 165 Organisationen von einer groß angelegten Kampagne betroffen waren, bei der gestohlene Kundendaten ausgenutzt wurden, um Snowflake-Cloud-Speichersysteme anzugreifen. Die Kampagne wird einem finanziell motivierten Bedrohungsakteur mit der Bezeichnung UNC5537 zugeschrieben.
Table of Contents
Wie sich der Angriff abspielte
UNC5537 hat Hunderte von Snowflake-Instanzen kompromittiert, indem es Kundenanmeldeinformationen verwendete, die über Infostealer-Malware gestohlen wurden. Diese Malware infizierte Systeme, die nicht Snowflake gehören, und ermöglichte so einen unbefugten Zugriff auf Kundenkonten.
Die Untersuchung von Mandiant ergab keine Hinweise auf einen Einbruch in der Unternehmensumgebung von Snowflake. Stattdessen ließ sich jeder Vorfall auf kompromittierte Kundenanmeldeinformationen zurückführen. Die Angriffe begannen am 14. April und zielten auf Konten ohne angemessenen Schutz durch Multi-Faktor-Authentifizierung (MFA). Einige dieser Anmeldeinformationen wurden vor Jahren gestohlen.
Quelle der kompromittierten Anmeldeinformationen
Laut Mandiant stammten die meisten der von UNC5537 verwendeten Anmeldeinformationen aus historischen Infostealer-Infektionen, die bis ins Jahr 2020 zurückreichen. Die zum Diebstahl dieser Anmeldeinformationen verwendete Malware umfasste Lumma, Meta, Racoon Stealer, Redline, Risepro und Vidar. Einige Auftragnehmersysteme, die sowohl für berufliche als auch für private Aktivitäten verwendet werden, waren ebenfalls infiziert.
Ausgenutzte Schwachstellen
Den kompromittierten Snowflake-Instanzen fehlte MFA, sie verwendeten seit langem offengelegte Anmeldeinformationen, die nicht rotiert worden waren, und hatten keine Netzwerk-Allow-Listen. Bei etwa 80 % der Konten waren die Anmeldeinformationen bereits zuvor offengelegt worden.
UNC5537 hat über verschiedene Tools auf die kompromittierten Kundenkonten zugegriffen, darunter die native webbasierte Benutzeroberfläche, das Befehlszeilentool SnowSQL, ein benutzerdefiniertes Dienstprogramm namens „Rapeflake“ (auch bekannt als FrostBite) und das Datenbankverwaltungstool DBeaver Ultimate. Der Bedrohungsakteur hat SQL-Befehle zur Aufklärung und Datenexfiltration ausgeführt.
Auswirkungen und Folgen
UNC5537 hat Hunderte von Organisationen weltweit ins Visier genommen und erhebliche Datenmengen exfiltriert, die sie zur Erpressung der Opferorganisationen verwendet haben. Die Gruppe versucht aktiv, gestohlene Daten in Cyberkriminellen-Foren zu verkaufen. Mitglieder von UNC5537 sind hauptsächlich in Nordamerika aktiv, ein Mitglied ist in der Türkei, und einige sind mit anderen bekannten Bedrohungsgruppen verbunden.
Weitergehende Auswirkungen
Mandiant betonte, dass die weitreichende Wirkung dieser Kampagne nicht auf besonders neuartige oder ausgefeilte Tools zurückzuführen sei, sondern vielmehr eine Folge des wachsenden Marktes für Infostealer und verpasster Gelegenheiten, Anmeldeinformationen besser zu schützen. Zu den prominenten Opfern der Kampagne zählen Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive und State Farm.
