根据 Google Mandiant 今天发布的报告,影响云存储提供商 Snowflake 客户的数据泄露迄今为止已波及约 165 家组织。
虽然最初的说法将 Snowflake 数据泄露事件与这家云提供商自身的环境联系起来,但 Mandiant 表示,其调查支持了 Snowflake 的说法,即数据泄露源于受损的客户凭证,其中许多凭证未启用多因素身份验证。
此次攻击中受影响的一些知名组织包括Ticketmaster、Advance Auto Parts、Santander 等。
四月份发现雪花漏洞
Mandiant 将此次入侵归咎于 UNC5537,“这是一个以经济为目的的威胁行为者,涉嫌从 Snowflake 客户环境中窃取了大量记录。UNC5537 正在利用窃取的客户凭证系统性地入侵 Snowflake 客户实例,在网络犯罪论坛上宣传出售受害者数据,并试图勒索许多受害者。”
Mandiant 表示,该威胁组织总部位于北美,另有一名成员位于土耳其。
Mandiant 的研究人员写道: “Mandiant 的调查没有发现任何证据表明对 Snowflake 客户账户的未经授权的访问源于对 Snowflake 企业环境的破坏。” “相反,Mandiant 响应的与此活动相关的每起事件都可以追溯到被泄露的客户凭证。”
Mandiant 于 4 月份首次看到了 Snowflake数据泄露活动的证据,当时该公司“收到了有关数据库记录的威胁情报,随后被确定为来自受害者的 Snowflake 实例”。
在随后的调查中,Mandiant 发现该组织的 Snowflake 实例已被威胁行为者利用之前通过信息窃取恶意软件窃取的凭证入侵。Mandiant 表示:“威胁行为者利用这些被盗凭证访问客户的 Snowflake 实例,并最终窃取有价值的数据。”入侵时,该帐户未启用多因素身份验证 (MFA)。
黑客利用信息窃取活动获取的凭证
Mandiant 表示,迄今为止对遭受黑客攻击的 Snowflake 客户的调查发现,UNC5537 能够通过被盗的客户凭证获得访问权限,这些凭证“主要通过感染非 Snowflake 所拥有系统的多个信息窃取恶意软件活动获得”。
其中一些信息窃取程序感染可以追溯到 2020 年,使用信息窃取程序恶意软件变种,例如 VIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA 和 METASTEALER。
对 Snowflake 客户实例的初始访问通常是通过运行在 Windows Server 2022 上的本机基于 Web 的 UI(SnowFlake UI AKA SnowSight)或命令行界面 (CLI) 工具 (SnowSQL) 进行的。Mandiant 发现了利用攻击者命名的实用程序“rapeflake”进行额外访问的现象,Mandiant 将其追踪为 FROSTBITE。
Snowflake泄密攻击路径(来源:Mandiant)
Mandiant 表示,除了缺乏 MFA 之外,一些受影响的账户自被盗以来一直未更新凭证,甚至在很长时间后也未更新。受影响的 Snowflake 实例也没有使用网络允许列表来仅允许来自受信任位置的访问。
在VirusTotal上可以找到可疑 IP 地址列表,Snowflake 还发布了详细的安全信息,包括入侵指标 (IoC)。
发表评论
您还未登录,请先登录。
登录