A nagyszabású hitelesítő adatlopási kampány a hópehely felhőtárolását célozza
A Mandiant új jelentése felfedte, hogy körülbelül 165 szervezetet érintett egy nagyszabású kampány, amely az ellopott ügyfelek hitelesítő adatait használta a Snowflake felhőalapú tárolórendszerek megcélzására. A kampányt az UNC5537 néven azonosított, pénzügyileg motivált fenyegetés szereplőjének tulajdonítják.
Table of Contents
Hogyan bontakozott ki a támadás
Az UNC5537 több száz Snowflake-példányt kompromittált az infostealer rosszindulatú programon keresztül ellopott ügyfél hitelesítő adatok felhasználásával. Ez a rosszindulatú program olyan rendszereket fertőzött meg, amelyek nem a Snowflake tulajdonában vannak, ami illetéktelen hozzáférést eredményezett az ügyfélfiókokhoz.
A Mandiant vizsgálata nem talált bizonyítékot a Snowflake vállalati környezetében történt megsértésre. Ehelyett minden incidens a feltört ügyfél hitelesítő adataira vezethető vissza. A támadások április 14-én kezdődtek, megfelelő többtényezős hitelesítés (MFA) védelemmel nem rendelkező fiókokat célozva. Néhány ilyen bizonyítványt évekkel ezelőtt elloptak.
A kompromittált hitelesítő adatok forrása
A Mandiant szerint az UNC5537 által használt hitelesítő adatok többsége 2020-ig visszanyúló, történelmi információlopó fertőzésekből származik. A hitelesítő adatok ellopására használt rosszindulatú programok közé tartozik a Lumma, a Meta, a Racoon Stealer, a Redline, a Risepro és a Vidar. Néhány vállalkozói rendszer is megfertőződött, amelyeket szakmai és személyes tevékenységekre egyaránt használtak.
Sebezhetőségek kihasználva
A kompromittált Snowflake-példányok nem tartalmaztak MFA-t, hosszú ideig látható hitelesítő adatokat használtak, amelyeket nem forgattak el, és nem rendelkeztek hálózati engedélyezési listákkal. A számlák hozzávetőleg 80%-a rendelkezett korábbi hitelesítő adatokkal.
Az UNC5537 különféle eszközökön keresztül férhetett hozzá a feltört ügyfélfiókokhoz, beleértve a natív webalapú felhasználói felületet, a SnowSQL parancssori eszközt, a „rapeflake” (más néven FrostBite) egyéni segédprogramot és a DBeaver Ultimate adatbázis-kezelő eszközt. A fenyegetés szereplője SQL-parancsokat hajtott végre a felderítéshez és az adatok kiszűréséhez.
Hatás és következmények
Az UNC5537 szervezetek százait célozta meg világszerte, jelentős mennyiségű adatot kiszűrve, amelyet áldozatszervezetek kizsarolására használtak fel. A csoport aktívan próbál ellopott adatokat eladni kiberbűnözői fórumokon. Az UNC5537 tagjai főként Észak-Amerikában tevékenykednek, egy tag Törökországban, és néhányan más ismert fenyegető csoportokhoz állnak kapcsolatban.
Tágabb vonatkozások
Mandiant hangsúlyozta, hogy ennek a kampánynak a széles körű hatása nem valami különösebben újszerű vagy kifinomult eszköznek köszönhető, hanem inkább a bővülő infostealer piacnak és az elszalasztott lehetőségeknek a jobb hitelesítési lehetőségek következménye. A kampányban megnevezett nagy horderejű áldozatok közé tartozik a Ticketmaster , a Santander Bank, az Anheuser-Busch, az Allstate, az Advance Auto Parts, a Mitsubishi, a Neiman Marcus, a Progressive és a State Farm.
