Una campagna di furto di credenziali su larga scala prende di mira Snowflake Cloud Storage
Un nuovo rapporto di Mandiant ha rivelato che circa 165 organizzazioni sono state colpite da una campagna su larga scala che sfruttava le credenziali dei clienti rubate per prendere di mira i sistemi di archiviazione cloud Snowflake. La campagna è attribuita a un autore di minacce motivato finanziariamente identificato come UNC5537.
Table of Contents
Come si è svolto l'attacco
UNC5537 ha compromesso centinaia di istanze di Snowflake utilizzando le credenziali dei clienti rubate tramite malware infostealer. Questo malware ha infettato sistemi non di proprietà di Snowflake, provocando l'accesso non autorizzato agli account dei clienti.
L'indagine di Mandiant non ha trovato prove di una violazione nell'ambiente aziendale di Snowflake. Invece, ogni incidente è riconducibile alla compromissione delle credenziali del cliente. Gli attacchi sono iniziati il 14 aprile, prendendo di mira account senza adeguate protezioni di autenticazione a più fattori (MFA). Alcune di queste credenziali sono state rubate anni fa.
Origine delle credenziali compromesse
Secondo Mandiant, la maggior parte delle credenziali utilizzate da UNC5537 provenivano da infezioni storiche di infostealer risalenti fino al 2020. Il malware utilizzato per rubare queste credenziali includeva Lumma, Meta, Racoon Stealer, Redline, Risepro e Vidar. Sono stati infettati anche i sistemi di alcuni appaltatori, utilizzati sia per attività professionali che personali.
Vulnerabilità sfruttate
Le istanze Snowflake compromesse non disponevano di MFA, utilizzavano credenziali esposte a lungo che non erano state ruotate e non disponevano di elenchi di autorizzazioni di rete. Circa l'80% dei conti aveva precedenti esposizioni di credenziali.
UNC5537 ha avuto accesso agli account dei clienti compromessi tramite vari strumenti tra cui l'interfaccia utente nativa basata sul Web, lo strumento da riga di comando SnowSQL, un'utilità personalizzata denominata "rapeflake" (nota anche come FrostBite) e lo strumento di gestione del database DBeaver Ultimate. L'autore della minaccia ha eseguito comandi SQL per la ricognizione e l'esfiltrazione dei dati.
Impatto e conseguenze
L'UNC5537 ha preso di mira centinaia di organizzazioni in tutto il mondo, esfiltrando quantità significative di dati che hanno utilizzato per estorcere le organizzazioni vittime. Il gruppo sta tentando attivamente di vendere i dati rubati sui forum dei criminali informatici. I membri dell’UNC5537 operano principalmente in Nord America, con un membro in Turchia, e alcuni sono collegati ad altri gruppi di minaccia noti.
Implicazioni più ampie
Mandiant ha sottolineato che l’impatto diffuso di questa campagna non è dovuto a strumenti particolarmente nuovi o sofisticati, ma è piuttosto una conseguenza dell’espansione del mercato degli infostealer e delle opportunità mancate per proteggere meglio le credenziali. Le vittime di alto profilo nominate nella campagna includono Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive e State Farm.
