Zakrojona na szeroką skalę kampania dotycząca kradzieży danych uwierzytelniających ma na celu przechowywanie danych w chmurze Snowflake
Nowy raport firmy Mandiant ujawnił, że zakrojona na szeroką skalę kampania wykorzystująca skradzione dane uwierzytelniające klientów dotknęła około 165 organizacji w celu wykorzystania systemów przechowywania danych w chmurze Snowflake. Kampanię przypisuje się ugrupowaniu zagrażającemu motywowanemu finansowo, zidentyfikowanemu jako UNC5537.
Table of Contents
Jak przebiegał atak
UNC5537 naruszył bezpieczeństwo setek instancji Snowflake, wykorzystując dane uwierzytelniające klientów skradzione za pomocą złośliwego oprogramowania kradnącego informacje. To złośliwe oprogramowanie infekowało systemy, które nie są własnością Snowflake, powodując nieautoryzowany dostęp do kont klientów.
Dochodzenie Mandianta nie znalazło żadnych dowodów na naruszenie środowiska korporacyjnego Snowflake. Zamiast tego każdy incydent miał swoje źródło w naruszonych danych uwierzytelniających klienta. Ataki rozpoczęły się 14 kwietnia, a ich celem były konta bez odpowiednich zabezpieczeń przy użyciu uwierzytelniania wieloskładnikowego (MFA). Niektóre z tych dokumentów zostały skradzione wiele lat temu.
Źródło naruszonych danych uwierzytelniających
Według Mandianta większość danych uwierzytelniających używanych przez UNC5537 pochodzi z historycznych infekcji związanych ze kradzieżą informacji sięgających roku 2020. Do szkodliwych programów wykorzystywanych do kradzieży tych danych uwierzytelniających zaliczały się Lumma, Meta, Racoon Stealer, Redline, Risepro i Vidar. Zainfekowane zostały także niektóre systemy kontrahentów, wykorzystywane zarówno do celów zawodowych, jak i osobistych.
Wykorzystane luki w zabezpieczeniach
Zaatakowane instancje Snowflake nie posiadały usługi MFA, korzystały z długo ujawnionych danych uwierzytelniających, które nie zostały poddane rotacji, i nie miały list dozwolonych sieci. Około 80% kont miało wcześniej dostęp do danych uwierzytelniających.
UNC5537 uzyskał dostęp do zaatakowanych kont klientów za pomocą różnych narzędzi, w tym natywnego internetowego interfejsu użytkownika, narzędzia wiersza poleceń SnowSQL, niestandardowego narzędzia o nazwie „rapeflake” (znanego również jako FrostBite) oraz narzędzia do zarządzania bazami danych DBeaver Ultimate. Osoba zagrażająca wykonywała polecenia SQL w celu rozpoznania i eksfiltracji danych.
Wpływ i konsekwencje
UNC5537 obrał za cel setki organizacji na całym świecie, wydobywając znaczne ilości danych, które wykorzystywały one do wyłudzania pieniędzy od organizacji ofiar. Grupa aktywnie próbuje sprzedawać skradzione dane na forach cyberprzestępczych. Członkowie UNC5537 działają głównie w Ameryce Północnej, jeden członek w Turcji, a niektórzy są powiązani z innymi znanymi grupami zagrożeń.
Szersze implikacje
Mandiant podkreślił, że powszechny wpływ tej kampanii nie wynika z żadnych szczególnie nowatorskich lub wyrafinowanych narzędzi, ale jest raczej konsekwencją rozwijającego się rynku złodziei informacji i straconych możliwości lepszego zabezpieczania danych uwierzytelniających. Do znanych ofiar wymienionych w kampanii należą Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive i State Farm.
