Une campagne de vol d’identifiants à grande échelle cible le stockage cloud Snowflake
Un nouveau rapport de Mandiant a révélé qu'environ 165 organisations ont été touchées par une campagne à grande échelle exploitant les identifiants client volés pour cibler les systèmes de stockage cloud Snowflake. La campagne est attribuée à un acteur menaçant motivé par des raisons financières identifié comme UNC5537.
Table of Contents
Comment l'attaque s'est déroulée
UNC5537 a compromis des centaines d'instances Snowflake en utilisant des informations d'identification client volées via un logiciel malveillant infostealer. Ce logiciel malveillant a infecté des systèmes qui n'appartiennent pas à Snowflake, entraînant un accès non autorisé aux comptes clients.
L'enquête de Mandiant n'a trouvé aucune preuve d'une violation dans l'environnement d'entreprise de Snowflake. Au lieu de cela, chaque incident remontait à des informations d’identification client compromises. Les attaques ont commencé le 14 avril, ciblant les comptes ne disposant pas de protections d'authentification multifacteur (MFA) appropriées. Certaines de ces informations d'identification ont été volées il y a des années.
Source des informations d'identification compromises
Selon Mandiant, la plupart des informations d'identification utilisées par UNC5537 provenaient d'infections historiques d'infostealer remontant à 2020. Les logiciels malveillants utilisés pour voler ces informations d'identification comprenaient Lumma, Meta, Racoon Stealer, Redline, Risepro et Vidar. Certains systèmes d'entrepreneurs, utilisés à la fois pour des activités professionnelles et personnelles, ont également été infectés.
Vulnérabilités exploitées
Les instances Snowflake compromises ne disposaient pas de MFA, utilisaient des informations d'identification exposées depuis longtemps qui n'avaient pas été alternées et ne disposaient pas de listes d'autorisation réseau. Environ 80 % des comptes avaient déjà été exposés à des informations d’identification.
UNC5537 a accédé aux comptes clients compromis via divers outils, notamment l'interface utilisateur Web native, l'outil de ligne de commande SnowSQL, un utilitaire personnalisé nommé « rapeflake » (également connu sous le nom de FrostBite) et l'outil de gestion de base de données DBeaver Ultimate. L'acteur malveillant a exécuté des commandes SQL pour la reconnaissance et l'exfiltration de données.
Impact et conséquences
UNC5537 a ciblé des centaines d'organisations dans le monde entier, exfiltrant d'importantes quantités de données qu'elles ont utilisées pour extorquer les organisations victimes. Le groupe tente activement de vendre des données volées sur des forums cybercriminels. Les membres de l'UNC5537 opèrent principalement en Amérique du Nord, avec un membre en Turquie, et certains sont liés à d'autres groupes menaçants connus.
Implications plus larges
Mandiant a souligné que l'impact généralisé de cette campagne n'est pas dû à des outils particulièrement nouveaux ou sophistiqués, mais plutôt à une conséquence de l'expansion du marché des voleurs d'informations et des opportunités manquées pour mieux sécuriser les informations d'identification. Parmi les victimes de premier plan nommées dans la campagne figurent Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive et State Farm.
