Grootschalige campagne voor diefstal van inloggegevens gericht op Snowflake Cloud Storage
Uit een nieuw rapport van Mandiant is gebleken dat ongeveer 165 organisaties zijn getroffen door een grootschalige campagne waarbij gestolen klantgegevens worden misbruikt om zich te richten op Snowflake-cloudopslagsystemen. De campagne wordt toegeschreven aan een financieel gemotiveerde bedreigingsacteur, geïdentificeerd als UNC5537.
Table of Contents
Hoe de aanval zich ontvouwde
UNC5537 heeft honderden Snowflake-instanties gecompromitteerd door gebruik te maken van klantgegevens die zijn gestolen via infostealer-malware. Deze malware infecteerde systemen die geen eigendom zijn van Snowflake, wat resulteerde in ongeautoriseerde toegang tot klantaccounts.
Uit het onderzoek van Mandiant is geen bewijs gebleken van een inbreuk op de bedrijfsomgeving van Snowflake. In plaats daarvan was elk incident terug te voeren op gecompromitteerde klantgegevens. De aanvallen begonnen op 14 april en waren gericht op accounts zonder de juiste bescherming tegen multi-factor authenticatie (MFA). Sommige van deze inloggegevens zijn jaren geleden gestolen.
Bron van de gecompromitteerde geloofsbrieven
Volgens Mandiant waren de meeste door UNC5537 gebruikte inloggegevens afkomstig van historische infostealer-infecties die teruggaan tot 2020. De malware die werd gebruikt om deze inloggegevens te stelen waren onder meer Lumma, Meta, Racoon Stealer, Redline, Risepro en Vidar. Sommige aannemerssystemen, die zowel voor professionele als persoonlijke activiteiten werden gebruikt, raakten ook besmet.
Kwetsbaarheden uitgebuit
De gecompromitteerde Snowflake-instanties hadden geen MFA, gebruikten lang zichtbare inloggegevens die niet waren gerouleerd en hadden geen netwerktoelatingslijsten. Ongeveer 80% van de accounts had eerder toegang tot referenties.
UNC5537 kreeg toegang tot de gecompromitteerde klantaccounts via verschillende tools, waaronder de native webgebaseerde gebruikersinterface, de opdrachtregeltool SnowSQL, een aangepast hulpprogramma genaamd 'rapeflake' (ook bekend als FrostBite) en de databasebeheertool DBeaver Ultimate. De bedreigingsacteur voerde SQL-opdrachten uit voor verkenning en gegevensexfiltratie.
Impact en gevolgen
UNC5537 heeft honderden organisaties over de hele wereld aangevallen en aanzienlijke hoeveelheden gegevens geëxfiltreerd die zij hebben gebruikt om slachtofferorganisaties af te persen. De groep probeert actief gestolen gegevens te verkopen op cybercriminele forums. Leden van UNC5537 opereren voornamelijk in Noord-Amerika, met één lid in Turkije, en sommige zijn verbonden met andere bekende dreigingsgroepen.
Bredere implicaties
Mandiant benadrukte dat de wijdverspreide impact van deze campagne niet te danken is aan bijzonder nieuwe of geavanceerde tools, maar eerder een gevolg is van de groeiende infostealer-marktplaats en gemiste kansen om inloggegevens beter te beveiligen. Bekende slachtoffers die in de campagne worden genoemd, zijn onder meer Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive en State Farm.
