大規模な認証情報窃盗キャンペーンがSnowflakeクラウドストレージを標的に

Mandiant の新しいレポートによると、盗まれた顧客の認証情報を悪用して Snowflake クラウド ストレージ システムを標的とする大規模な攻撃により、約 165 の組織が影響を受けていることが明らかになりました。この攻撃は、UNC5537 として識別される金銭目的の脅威アクターによるものです。

攻撃の経緯

UNC5537 は、インフォスティーラー マルウェアによって盗まれた顧客の認証情報を使用して、数百の Snowflake インスタンスを侵害しました。このマルウェアは、Snowflake が所有していないシステムに感染し、顧客アカウントへの不正アクセスを引き起こしました。

Mandiant の調査では、Snowflake のエンタープライズ環境における侵害の証拠は見つかりませんでした。代わりに、各インシデントは顧客の認証情報の侵害にまで遡りました。攻撃は 4 月 14 日に始まり、適切な多要素認証 (MFA) 保護のないアカウントをターゲットにしていました。これらの認証情報の一部は数年前に盗まれたものでした。

侵害された認証情報のソース

Mandiant によると、UNC5537 が使用した認証情報のほとんどは、2020 年まで遡る過去のインフォスティーラー感染からのものでした。これらの認証情報を盗むために使用されたマルウェアには、Lumma、Meta、Racoon Stealer、Redline、Risepro、Vidar などがありました。業務と個人の両方の活動に使用される一部の請負業者システムも感染していました。

悪用された脆弱性

侵害された Snowflake インスタンスには MFA がなく、長期間公開されたままローテーションされていない認証情報が使用されており、ネットワーク許可リストもありませんでした。アカウントの約 80% は以前に認証情報が公開されていました。

UNC5537 は、ネイティブ Web ベースの UI、コマンドライン ツール SnowSQL、カスタム ユーティリティ「rapeflake」(別名 FrostBite)、データベース管理ツール DBeaver Ultimate など、さまざまなツールを通じて侵害された顧客アカウントにアクセスしました。脅威アクターは、偵察とデータ流出のために SQL コマンドを実行しました。

影響と結果

UNC5537 は世界中の何百もの組織を標的にし、大量のデータを盗み出し、それを使って被害者組織から金銭を脅し取っています。このグループは盗んだデータをサイバー犯罪フォーラムで積極的に販売しようとしています。UNC5537 のメンバーは主に北米で活動しており、トルコにもメンバーが 1 人います。また、他の既知の脅威グループと関係のあるメンバーもいます。

より広範な影響

Mandiant は、このキャンペーンの広範な影響は、特に目新しい、または洗練されたツールによるものではなく、むしろインフォスティーラー市場の拡大と認証情報のセキュリティを強化する機会の喪失の結果であると強調しました。キャンペーンで名指しされた著名な被害者には、 Ticketmaster 、Santander Bank、Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive、State Farm などがあります。