Масштабная кампания по краже учетных данных направлена против облачного хранилища Snowflake
Новый отчет Mandiant показал, что около 165 организаций пострадали от крупномасштабной кампании по использованию украденных учетных данных клиентов для атак на облачные системы хранения данных Snowflake. Кампания приписывается финансово мотивированному злоумышленнику, идентифицированному как UNC5537.
Table of Contents
Как развивалась атака
UNC5537 взломал сотни экземпляров Snowflake, используя учетные данные клиентов, украденные с помощью вредоносного ПО-похитителя информации. Это вредоносное ПО заразило системы, не принадлежащие Snowflake, что привело к несанкционированному доступу к учетным записям клиентов.
Расследование Mandiant не обнаружило никаких доказательств взлома корпоративной среды Snowflake. Вместо этого каждый инцидент был связан с компрометацией учетных данных клиента. Атаки начались 14 апреля и были нацелены на учетные записи без надлежащей защиты многофакторной аутентификации (MFA). Некоторые из этих учетных данных были украдены много лет назад.
Источник скомпрометированных учетных данных
По данным Mandiant, большая часть учетных данных, используемых UNC5537, была получена в результате исторических заражений информационными ворами, датируемых еще 2020 годом. Вредоносное ПО, использованное для кражи этих учетных данных, включало Lumma, Meta, Racoon Stealer, Redline, Risepro и Vidar. Также были заражены некоторые системы подрядчиков, используемые как для профессиональной, так и для личной деятельности.
Использованные уязвимости
Скомпрометированные экземпляры Snowflake не имели MFA, использовали давно открытые учетные данные, которые не менялись, и не имели списков разрешений сети. Примерно 80% учетных записей ранее имели доступ к учетным данным.
UNC5537 получил доступ к скомпрометированным учетным записям клиентов с помощью различных инструментов, включая собственный веб-интерфейс, инструмент командной строки SnowSQL, специальную утилиту под названием «rapeflake» (также известную как FrostBite) и инструмент управления базами данных DBeaver Ultimate. Злоумышленник выполнял команды SQL для разведки и кражи данных.
Воздействие и последствия
UNC5537 атаковал сотни организаций по всему миру, похитив значительные объемы данных, которые они использовали для вымогательства у организаций-жертв. Группа активно пытается продать украденные данные на форумах киберпреступников. Члены UNC5537 действуют в основном в Северной Америке, один член находится в Турции, а некоторые связаны с другими известными группами угроз.
Более широкие последствия
Мандиант подчеркнул, что широкое влияние этой кампании связано не с какими-то особенно новыми или сложными инструментами, а, скорее, является следствием расширения рынка информационных воров и упущенных возможностей для лучшей защиты учетных данных. В число известных жертв, названных в ходе кампании, входят Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive и State Farm.
