大規模憑證竊盜活動針對 Snowflake 雲端存儲

Mandiant 的一份新報告顯示，大約 165 個組織受到了一場大規模活動的影響，該活動利用被盜的客戶憑證來攻擊 Snowflake 雲端儲存系統。該活動歸因於一個出於經濟動機的威脅行為者，其身分為 UNC5537。

攻擊是如何展開的

UNC5537 透過使用透過 infostealer 惡意軟體竊取的客戶憑證，已經危害了數百個 Snowflake 實例。該惡意軟體感染了不屬於 Snowflake 的系統，導致未經授權存取客戶帳戶。

Mandiant 的調查並沒有發現 Snowflake 企業環境有違規行為的證據。相反，每起事件都可以追溯到客戶憑證被盜。這些攻擊於 4 月 14 日開始，針對沒有適當多重身份驗證 (MFA) 保護的帳戶。其中一些憑證幾年前就被盜了。

受損憑證的來源

據 Mandiant 稱，UNC5537 使用的大部分憑證來自最早可追溯到 2020 年的歷史資訊竊取者感染。一些用於專業和個人活動的承包商系統也被感染。

漏洞被利用

受損的 Snowflake 實例缺乏 MFA、使用長期暴露且未輪換的憑證，並且沒有網路允許清單。大約 80% 的帳戶之前曾暴露過憑證。

UNC5537 透過各種工具存取受感染的客戶帳戶，包括基於 Web 的本機 UI、命令列工具 SnowSQL、名為「rapeflake」的自訂實用程式（也稱為 FrostBite）以及資料庫管理工具 DBeaver Ultimate。威脅參與者執行 SQL 命令進行偵察和資料外洩。

影響和後果

UNC5537 已針對全球數百個組織，竊取大量數據，用於勒索受害者組織。該組織正積極嘗試在網路犯罪論壇上出售被盜資料。 UNC5537 的成員主要在北美活動，其中一名成員在土耳其，一些成員與其他已知的威脅組織有聯繫。

更廣泛的影響

Mandiant 強調，該活動的廣泛影響並不是由於任何特別新穎或複雜的工具，而是由於資訊竊取者市場不斷擴大以及錯失了更好地保護憑證的機會的結果。活動中提到的知名受害者包括Ticketmaster 、桑坦德銀行、安海斯布希、好事達、Advance Auto Parts、三菱、內曼馬庫斯、Progressive 和 State Farm。