Storskalig inloggningsstöldkampanj riktar sig till Snowflake Cloud Storage
En ny rapport från Mandiant har avslöjat att cirka 165 organisationer har påverkats av en storskalig kampanj som utnyttjar stulna kunduppgifter för att rikta in sig på Snowflakes molnlagringssystem. Kampanjen tillskrivs en ekonomiskt motiverad hotaktör identifierad som UNC5537.
Table of Contents
Hur attacken utvecklades
UNC5537 har äventyrat hundratals Snowflake-instanser genom att använda kunduppgifter som stals via infostealer malware. Denna malware infekterade system som inte ägs av Snowflake, vilket resulterade i obehörig åtkomst till kundkonton.
Mandiants utredning fann inga bevis för ett intrång i Snowflakes företagsmiljö. Istället spårades varje incident tillbaka till komprometterade kunduppgifter. Attackerna började den 14 april och riktade sig mot konton utan ordentligt skydd för multifaktorautentisering (MFA). En del av dessa referenser stals för flera år sedan.
Källa till de kompromissade inloggningsuppgifterna
Enligt Mandiant kom de flesta av de referenser som användes av UNC5537 från historiska infostealer-infektioner som går tillbaka så långt som 2020. Skadlig programvara som användes för att stjäla dessa referenser inkluderade Lumma, Meta, Racoon Stealer, Redline, Risepro och Vidar. Vissa entreprenörssystem, som används för både professionella och personliga aktiviteter, var också infekterade.
Sårbarheter utnyttjade
De komprometterade Snowflake-instanserna saknade MFA, använde länge exponerade autentiseringsuppgifter som inte hade roterats och hade inga listor för nätverkstillstånd. Ungefär 80 % av kontona hade tidigare exponering.
UNC5537 fick åtkomst till de komprometterade kundkontona genom olika verktyg inklusive det inbyggda webbaserade användargränssnittet, kommandoradsverktyget SnowSQL, ett anpassat verktyg som heter 'rapeflake' (även känt som FrostBite) och databashanteringsverktyget DBeaver Ultimate. Hotaktören utförde SQL-kommandon för spaning och dataexfiltrering.
Påverkan och konsekvenser
UNC5537 har riktat in sig på hundratals organisationer över hela världen och har exfiltrerat betydande mängder data som de har använt för att utpressa offerorganisationer. Gruppen försöker aktivt sälja stulen data på cyberkriminella forum. Medlemmar av UNC5537 verkar huvudsakligen i Nordamerika, med en medlem i Turkiet, och några är kopplade till andra kända hotgrupper.
Bredare konsekvenser
Mandiant betonade att den utbredda effekten av denna kampanj inte beror på några särskilt nya eller sofistikerade verktyg utan snarare är en konsekvens av den expanderande infostealermarknaden och missade möjligheter att säkra referenser bättre. Högprofilerade offer som nämns i kampanjen inkluderar Ticketmaster , Santander Bank, Anheuser-Busch, Allstate, Advance Auto Parts, Mitsubishi, Neiman Marcus, Progressive och State Farm.
