Didelio masto kredencialų vagysčių kampanija skirta snaigių debesų saugyklai
Nauja „Mandiant“ ataskaita atskleidė, kad apie 165 organizacijas paveikė plataus masto kampanija, kurioje pavogti klientų kredencialai buvo naudojami „Snowflake“ debesų saugojimo sistemoms. Kampanija priskiriama finansiškai motyvuotam grėsmės veikėjui, pavadintam UNC5537.
Table of Contents
Kaip prasidėjo puolimas
UNC5537 pakenkė šimtams „Snowflake“ egzempliorių naudodamas klientų kredencialus, kurie buvo pavogti naudojant „infostealer“ kenkėjišką programą. Ši kenkėjiška programa užkrėtė sistemas, kurios nepriklauso „Snowflake“, todėl buvo neteisėta prieiga prie klientų paskyrų.
„Mandiant“ tyrimas nerado jokių „Snowflake“ įmonės aplinkos pažeidimo įrodymų. Vietoj to, kiekvienas incidentas kilo dėl pažeistų klientų kredencialų. Atakos prasidėjo balandžio 14 d., nukreiptos į paskyras be tinkamos kelių veiksnių autentifikavimo (MFA) apsaugos. Kai kurie iš šių įgaliojimų buvo pavogti prieš metus.
Sukompromituotų kredencialų šaltinis
Anot Mandiant, dauguma UNC5537 naudojamų kredencialų buvo gauti iš istorinių informacijos vagysčių užkratų, atsiradusių iki 2020 m. Šiems kredencialams pavogti naudotos kenkėjiškos programos buvo Lumma, Meta, Racoon Stealer, Redline, Risepro ir Vidar. Taip pat buvo užkrėstos kai kurios rangovų sistemos, naudojamos tiek profesinei, tiek asmeninei veiklai.
Pažeidžiamumas išnaudotas
Kompromituotiems „Snowflake“ egzemplioriams trūko MFA, buvo naudojami ilgai rodomi kredencialai, kurie nebuvo pasukti, ir nebuvo tinklo leidimo sąrašų. Apytiksliai 80 % paskyrų anksčiau buvo pateikti įgaliojimai.
UNC5537 pasiekė pažeistas klientų paskyras naudodamas įvairius įrankius, įskaitant vietinę žiniatinklio vartotojo sąsają, komandų eilutės įrankį SnowSQL, tinkintą įrankį, pavadintą „rapeflake“ (taip pat žinomas kaip „FrostBite“) ir duomenų bazės valdymo įrankį DBeaver Ultimate. Grėsmės veikėjas vykdė SQL komandas, skirtas žvalgybai ir duomenų išfiltravimui.
Poveikis ir pasekmės
UNC5537 nusitaikė į šimtus organizacijų visame pasaulyje, išfiltruodamas didelius duomenų kiekius, kuriuos jos panaudojo išviliodamos aukų organizacijas. Grupė aktyviai bando parduoti pavogtus duomenis kibernetinių nusikaltėlių forumuose. UNC5537 nariai daugiausia veikia Šiaurės Amerikoje, vienas narys yra Turkijoje, o kai kurie yra susiję su kitomis žinomomis grėsmių grupėmis.
Platesnės pasekmės
Mandiant pabrėžė, kad plačiai paplitęs šios kampanijos poveikis nėra dėl kažkokių ypač naujų ar sudėtingų įrankių, o veikiau besiplečiančios infostealer rinkos ir praleistų galimybių geriau apsaugoti kredencialus pasekmė. Kampanijoje įvardytos didelės aukos: „Ticketmaster “, „Santander Bank“, „Anheuser-Busch“, „Allstate“, „Advance Auto Parts“, „Mitsubishi“, „Neiman Marcus“, „Progressive“ ir „State Farm“.
