Εκστρατεία κλοπής διαπιστευτηρίων μεγάλης κλίμακας στοχεύει το Snowflake Cloud Storage
Μια νέα έκθεση από τη Mandiant αποκάλυψε ότι περίπου 165 οργανισμοί έχουν επηρεαστεί από μια εκστρατεία μεγάλης κλίμακας που εκμεταλλεύεται κλεμμένα διαπιστευτήρια πελατών για να στοχεύσει συστήματα αποθήκευσης cloud Snowflake. Η καμπάνια αποδίδεται σε έναν παράγοντα απειλής με οικονομικά κίνητρα που προσδιορίζεται ως UNC5537.
Table of Contents
Πώς εκτυλίχθηκε η επίθεση
Το UNC5537 έχει θέσει σε κίνδυνο εκατοντάδες περιπτώσεις Snowflake χρησιμοποιώντας διαπιστευτήρια πελατών που έχουν κλαπεί μέσω κακόβουλου λογισμικού infostealer. Αυτό το κακόβουλο λογισμικό προσέβαλε συστήματα που δεν ανήκουν στο Snowflake, με αποτέλεσμα τη μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς πελατών.
Η έρευνα της Mandiant δεν βρήκε στοιχεία για παραβίαση στο επιχειρηματικό περιβάλλον του Snowflake. Αντίθετα, κάθε περιστατικό ανάγεται σε παραβιασμένα διαπιστευτήρια πελατών. Οι επιθέσεις ξεκίνησαν στις 14 Απριλίου, στοχεύοντας λογαριασμούς χωρίς κατάλληλες προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Μερικά από αυτά τα διαπιστευτήρια είχαν κλαπεί πριν από χρόνια.
Πηγή των παραβιασμένων διαπιστευτηρίων
Σύμφωνα με το Mandiant, τα περισσότερα από τα διαπιστευτήρια που χρησιμοποιήθηκαν από το UNC5537 προέρχονταν από ιστορικές μολύνσεις από infostealer που χρονολογούνται από το 2020. Το κακόβουλο λογισμικό που χρησιμοποιήθηκε για την κλοπή αυτών των διαπιστευτηρίων περιλάμβανε τα Lumma, Meta, Racoon Stealer, Redline, Risepro και Vidar. Ορισμένα συστήματα εργολάβων, που χρησιμοποιούνται τόσο για επαγγελματικές όσο και για προσωπικές δραστηριότητες, μολύνθηκαν επίσης.
Ευπάθειες που αξιοποιήθηκαν
Τα παραβιασμένα στιγμιότυπα Snowflake δεν είχαν MFA, χρησιμοποιούσαν διαπιστευτήρια με μεγάλη έκθεση που δεν είχαν περιστραφεί και δεν διέθεταν λίστες επιτρεπόμενων δικτύου. Περίπου το 80% των λογαριασμών είχαν προηγούμενη έκθεση διαπιστευτηρίων.
Το UNC5537 απέκτησε πρόσβαση στους παραβιασμένους λογαριασμούς πελατών μέσω διαφόρων εργαλείων, όπως η εγγενής διεπαφή χρήστη που βασίζεται στον ιστό, το εργαλείο γραμμής εντολών SnowSQL, ένα προσαρμοσμένο βοηθητικό πρόγραμμα που ονομάζεται «rapeflake» (γνωστό επίσης ως FrostBite) και το εργαλείο διαχείρισης βάσης δεδομένων DBeaver Ultimate. Ο παράγοντας απειλής εκτέλεσε εντολές SQL για αναγνώριση και εξαγωγή δεδομένων.
Αντίκτυπος και Συνέπειες
Το UNC5537 έχει στοχεύσει εκατοντάδες οργανισμούς σε όλο τον κόσμο, διεισδύοντας σημαντικές ποσότητες δεδομένων που έχουν χρησιμοποιήσει για να εκβιάσουν οργανώσεις-θύματα. Η ομάδα προσπαθεί ενεργά να πουλήσει κλεμμένα δεδομένα σε φόρουμ κυβερνοεγκληματικότητας. Τα μέλη του UNC5537 δραστηριοποιούνται κυρίως στη Βόρεια Αμερική, με ένα μέλος στην Τουρκία και ορισμένα συνδέονται με άλλες γνωστές ομάδες απειλών.
Ευρύτερες επιπτώσεις
Ο Mandiant τόνισε ότι ο εκτεταμένος αντίκτυπος αυτής της καμπάνιας δεν οφείλεται σε κάποια ιδιαίτερα νέα ή εξελιγμένα εργαλεία, αλλά είναι μάλλον συνέπεια της διευρυνόμενης αγοράς πληροφοριακών κλοπών και των χαμένων ευκαιριών για καλύτερη διασφάλιση των διαπιστευτηρίων. Στα θύματα υψηλού προφίλ που κατονομάζονται στην καμπάνια περιλαμβάνονται οι Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive και State Farm.
