Storskala legitimasjonstyverikampanje rettet mot Snowflake Cloud Storage
En ny rapport fra Mandiant har avslørt at omtrent 165 organisasjoner har blitt berørt av en storstilt kampanje som utnytter stjålet kundelegitimasjon for å målrette Snowflake-skylagringssystemer. Kampanjen tilskrives en økonomisk motivert trusselaktør identifisert som UNC5537.
Table of Contents
Hvordan angrepet utviklet seg
UNC5537 har kompromittert hundrevis av Snowflake-forekomster ved å bruke kundelegitimasjon som ble stjålet via infostealer malware. Denne malware infiserte systemer som ikke eies av Snowflake, noe som resulterte i uautorisert tilgang til kundekontoer.
Mandiants etterforskning fant ingen bevis for et brudd i Snowflakes bedriftsmiljø. I stedet spores hver hendelse tilbake til kompromittert kundelegitimasjon. Angrepene startet 14. april, rettet mot kontoer uten skikkelig multi-faktor autentisering (MFA) beskyttelse. Noen av disse legitimasjonene ble stjålet for mange år siden.
Kilde til den kompromitterte legitimasjonen
I følge Mandiant kom det meste av legitimasjonen som ble brukt av UNC5537 fra historiske infostealer-infeksjoner som dateres tilbake så langt som til 2020. Skadevaren som ble brukt til å stjele disse legitimasjonene inkluderte Lumma, Meta, Racoon Stealer, Redline, Risepro og Vidar. Noen entreprenørsystemer, brukt til både profesjonelle og personlige aktiviteter, ble også infisert.
Sårbarheter utnyttet
De kompromitterte Snowflake-forekomstene manglet MFA, brukte langeksponerte legitimasjoner som ikke hadde blitt rotert, og hadde ikke nettverkstillatelseslister. Omtrent 80 % av kontoene hadde tidligere legitimasjonseksponering.
UNC5537 fikk tilgang til de kompromitterte kundekontoene gjennom forskjellige verktøy, inkludert det opprinnelige nettbaserte brukergrensesnittet, kommandolinjeverktøyet SnowSQL, et tilpasset verktøy kalt 'rapeflake' (også kjent som FrostBite), og databaseadministrasjonsverktøyet DBeaver Ultimate. Trusselaktøren utførte SQL-kommandoer for rekognosering og dataeksfiltrering.
Påvirkning og konsekvenser
UNC5537 har rettet seg mot hundrevis av organisasjoner over hele verden, og har eksfiltrert betydelige mengder data som de har brukt til å presse ut offerorganisasjoner. Gruppen prøver aktivt å selge stjålne data på nettkriminelle fora. Medlemmer av UNC5537 opererer hovedsakelig i Nord-Amerika, med ett medlem i Tyrkia, og noen er knyttet til andre kjente trusselgrupper.
Bredere implikasjoner
Mandiant understreket at den utbredte virkningen av denne kampanjen ikke skyldes noen spesielt nye eller sofistikerte verktøy, men snarere er en konsekvens av den ekspanderende infostealer-markedet og tapte muligheter til å sikre legitimasjon bedre. Høyprofilerte ofre som er navngitt i kampanjen inkluderer Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive og State Farm.
