大规模凭证盗窃活动针对 Snowflake 云存储

Mandiant 的一份新报告显示，大约 165 家组织受到了大规模攻击的影响，该攻击利用被盗客户凭证来攻击 Snowflake 云存储系统。该攻击是由一名被识别为 UNC5537 的以经济为目的的威胁行为者发起的。

攻击如何展开

UNC5537 通过使用信息窃取恶意软件窃取的客户凭证入侵了数百个 Snowflake 实例。该恶意软件感染了不属于 Snowflake 的系统，导致未经授权访问客户帐户。

Mandiant 的调查没有发现 Snowflake 企业环境中存在漏洞的证据。相反，每起事件都与被盗客户凭证有关。攻击始于 4 月 14 日，目标是没有适当多因素身份验证 (MFA) 保护的账户。其中一些凭证是几年前被盗的。

被盗凭证的来源

据 Mandiant 称，UNC5537 使用的大多数凭证都来自可追溯到 2020 年的历史信息窃取程序感染。用于窃取这些凭证的恶意软件包括 Lumma、Meta、Racoon Stealer、Redline、Risepro 和 Vidar。一些用于专业和个人活动的承包商系统也受到了感染。

漏洞利用

被入侵的 Snowflake 实例缺乏 MFA，使用未经轮换的长期暴露凭证，并且没有网络允许列表。大约 80% 的帐户先前曾暴露过凭证。

UNC5537 通过各种工具访问了被入侵的客户账户，包括原生的基于 Web 的 UI、命令行工具 SnowSQL、名为“rapeflake”（也称为 FrostBite）的自定义实用程序以及数据库管理工具 DBeaver Ultimate。威胁行为者执行 SQL 命令进行侦察和数据泄露。

影响和后果

UNC5537 已将全球数百家组织作为目标，窃取了大量数据，并利用这些数据勒索受害组织。该组织正积极尝试在网络犯罪论坛上出售窃取的数据。UNC5537 的成员主要在北美活动，其中一名成员在土耳其，一些成员与其他已知威胁组织有联系。

更广泛的影响

Mandiant 强调，此次攻击活动的广泛影响并非源于任何特别新颖或复杂的工具，而是由于信息窃取者市场不断扩大，错失了更好地保护凭证的机会。此次攻击活动中提到的知名受害者包括Ticketmaster 、Santander Bank、Anheuser-Busch、Allstate、Advance Auto Parts、Mitsubishi、Neiman Marcus、Progressive 和 State Farm。