行業新聞與部落格

Mandiant 警告稱，一名網路威脅行為者涉嫌從資料倉庫平臺 Snowflake 竊取了大量客戶資料。 

這個名為 UNC5537 的威脅行為者出於經濟動機，在網路犯罪論壇上宣傳出售被盜資料，並試圖勒索大量受害者。

迄今為止，已有 165 家使用 Snowflake 的組織收到可能已受到暴露的通知。

Snowflake 是一個多雲資料倉庫平臺，允許客戶儲存和分析大量結構化和非結構化資料。

Mandiant 的研究人員表示，UNC5537 正在利用被盜的客戶憑證“系統地”入侵 Snowflake 客戶例項。

Mandiant 所響應的與此活動相關的每個事件都可以追溯到被洩露的客戶憑證，這些憑證主要從感染非 Snowflake 所擁有的系統的多個資訊竊取惡意軟體活動中獲得。

沒有證據表明這些事件是由 Snowflake 企業環境遭到破壞引起的。

Snowflake 客戶資料如何被洩露

Mandiant 分析了資料庫記錄，隨後確定這些記錄源自 2024 年 4 月受害者的 Snowflake 例項。

Mandiant 的調查顯示，該組織的 Snowflake 平臺遭到威脅行為者利用竊取的憑證入侵，從而竊取了寶貴的資料。

在獲得更多情報，確定存在針對客戶 Snowflake 平臺的更廣泛攻擊活動後，Mandiant 於 2024 年 5 月聯絡了該資料倉庫平臺，告知了他們的調查結果。

該報告促成了受害者通知計劃的實施，該計劃旨在通知潛在受害者並幫助他們保護他們的賬戶和資料。

Mandiant 和 Snowflake 的聯合調查發現，UNC5537 使用的大部分憑證都來自最早可追溯到 2020 年的歷史資訊竊取程式感染。

資訊竊取惡意軟體變種包括 VIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA 和 METASTEALER。

Mandiant 和 Snowflake 的分析發現，威脅行為者利用的賬戶中至少有 79.7% 曾有過憑證暴露。

UNC5537 還被評估對目標 Snowflake 平臺進行了偵察。威脅行為者使用名為 FROSTBOTE 的工具執行 SQL 偵察活動，包括列出使用者、當前角色、當前 IP、會話 ID 和組織名稱。

一旦客戶帳戶被盜用，UNC5537 就會在眾多客戶 Snowflake 例項中反覆執行類似的 SQL 命令來儲存和竊取資料。

Mandiant 寫道：“威脅行為者隨後開始直接勒索許多受害者，並積極試圖在公認的網路犯罪論壇上出售被盜的客戶資料。”

UNC5537 自 2024 年 5 月起被認定為一個獨特的叢集，Mandiant 評估認為該叢集成員位於北美，具有中等信心。據觀察，該威脅行為者針對全球數百個組織，並經常勒索受害者以牟取經濟利益。

缺乏 MFA 導致攻擊者得逞

Mandiant 研究人員確定了導致攻擊者成功入侵受影響的 Snowflake 客戶例項的三個主要因素，這些因素均與未遵守基本安全協議有關：

1. 未啟用多因素身份驗證 (MFA)，這意味著成功的身份驗證只需要有效的使用者名稱和密碼
2. 過去資訊竊取程式感染所竊取的憑證尚未輪換或更新
3. 受影響的 Snowflake 客戶例項沒有設定網路允許列表，因此僅允許從受信任的位置進行訪問

Mandiant 建議各組織進行緊急憑證監控並普遍實施 MFA 和安全身份驗證，以減輕未來類似的攻擊風險。