Snowflake 攻击：Mandiant 将数据泄露与信息窃取者感染联系起来

Mandiant 的一份新报告(https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion)称，约有 165 个组织受到了一场大规模网络攻击活动的影响，该活动利用被盗的客户凭证来攻击 Snowflake 云存储系统。

据 Mandiant 称，一名被追踪为 UNC5537 的以经济利益为目的的黑客组织通过信息窃取恶意软件感染非 Snowflake 所拥有的系统窃取了客户凭证，从而入侵了数百个 Snowflake 实例。

Mandiant 表示：“Mandiant 的调查没有发现任何证据表明对 Snowflake 客户账户的未经授权访问源于对 Snowflake 企业环境的破坏。”

“相反，Mandiant 所响应的与此次活动相关的每起事件都被追溯到受损的客户凭证。”

根据 Mandiant 的报告，攻击始于 4 月 14 日，目标是那些没有实施多因素身份验证 (MFA) 保护的账户。Mandiant 表示，此次攻击活动中使用的部分凭证几年前就被盗用了。

攻击活动时间线

Mandiant 表示：“Mandiant 发现，UNC5537 使用的大部分凭证都来自历史信息窃取程序感染，其中一些可以追溯到 2020 年。”

Snowflake 活动中使用的凭证是使用 Lumma、Meta、Racoon Stealer、Redline、Risepro 和 Vidar 等恶意软件窃取的。在某些情况下，用于个人电脑的系统也感染了信息窃取程序。

除了缺乏 MFA 和使用未经轮换的长期暴露凭证外，受感染的 Snowflake 实例还缺乏网络允许列表。Mandiant 表示，大约 80% 的帐户先前曾暴露过凭证。

在观察到的攻击中，UNC5537 访问了被盗客户账户并窃取了大量数据，然后利用这些数据直接勒索许多受害组织。攻击者“正在积极尝试在网络犯罪论坛上出售被盗客户数据”。

UNC5537 使用原生基于 Web 的 UI、命令行工具 SnowSQL、攻击者命名为“rapeflake”的实用程序（追踪为 FrostBite，用于侦察）和数据库管理实用程序 DBeaver Ultimate（用于运行查询）访问了 Snowflake 实例。

研究人员发现攻击者会反复执行 SQL 命令进行侦察以及存储和窃取数据。

UNC5537 已针对全球数百个组织发起攻击，并在 Telegram 频道和网络犯罪论坛上使用各种名称进行犯罪活动，该团伙主要由北美个人组成，有一名成员来自土耳其，一些成员与其他已知威胁组织有关联。

Mandiant 补充道：“UNC5537 针对 Snowflake 客户实例的攻击并非源自任何特别新颖或复杂的工具、技术或程序。此次攻击的广泛影响是信息窃取者市场不断增长以及未采取措施进一步保护账户凭证的结果。”

Ticketmaster、桑坦德银行、百威英博、好事达、Advance Auto Parts、三菱、尼曼·马库斯、Progressive 和 State Farm 此前均被列为 Snowflake 黑客攻击活动的潜在受害者。

新闻链接：https://www.securityweek.com/snowflake-attacks-mandiant-links-data-breaches-to-infostealer-infections/