行業新聞與博客

Mandiant 警告稱，一名網絡威脅行為者涉嫌從數據倉庫平台 Snowflake 竊取了大量客户數據。 

這個名為 UNC5537 的威脅行為者出於經濟動機，在網絡犯罪論壇上宣傳出售被盜數據，並試圖勒索大量受害者。

迄今為止，已有 165 家使用 Snowflake 的組織收到可能已受到暴露的通知。

Snowflake 是一個多雲數據倉庫平台，允許客户存儲和分析大量結構化和非結構化數據。

Mandiant 的研究人員表示，UNC5537 正在利用被盜的客户憑證“系統地”入侵 Snowflake 客户實例。

Mandiant 所響應的與此活動相關的每個事件都可以追溯到被泄露的客户憑證，這些憑證主要從感染非 Snowflake 所擁有的系統的多個信息竊取惡意軟件活動中獲得。

沒有證據表明這些事件是由 Snowflake 企業環境遭到破壞引起的。

Snowflake 客户數據如何被泄露

Mandiant 分析了數據庫記錄，隨後確定這些記錄源自 2024 年 4 月受害者的 Snowflake 實例。

Mandiant 的調查顯示，該組織的 Snowflake 平台遭到威脅行為者利用竊取的憑證入侵，從而竊取了寶貴的數據。

在獲得更多情報，確定存在針對客户 Snowflake 平台的更廣泛攻擊活動後，Mandiant 於 2024 年 5 月聯繫了該數據倉庫平台，告知了他們的調查結果。

該報告促成了受害者通知計劃的實施，該計劃旨在通知潛在受害者並幫助他們保護他們的賬户和數據。

Mandiant 和 Snowflake 的聯合調查發現，UNC5537 使用的大部分憑證都來自最早可追溯到 2020 年的歷史信息竊取程序感染。

信息竊取惡意軟件變種包括 VIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA 和 METASTEALER。

Mandiant 和 Snowflake 的分析發現，威脅行為者利用的賬户中至少有 79.7% 曾有過憑證暴露。

UNC5537 還被評估對目標 Snowflake 平台進行了偵察。威脅行為者使用名為 FROSTBOTE 的工具執行 SQL 偵察活動，包括列出用户、當前角色、當前 IP、會話 ID 和組織名稱。

一旦客户帳户被盜用，UNC5537 就會在眾多客户 Snowflake 實例中反覆執行類似的 SQL 命令來存儲和竊取數據。

Mandiant 寫道：“威脅行為者隨後開始直接勒索許多受害者，並積極試圖在公認的網絡犯罪論壇上出售被盜的客户數據。”

UNC5537 自 2024 年 5 月起被認定為一個獨特的集羣，Mandiant 評估認為該集羣成員位於北美，具有中等信心。據觀察，該威脅行為者針對全球數百個組織，並經常勒索受害者以牟取經濟利益。

缺乏 MFA 導致攻擊者得逞

Mandiant 研究人員確定了導致攻擊者成功入侵受影響的 Snowflake 客户實例的三個主要因素，這些因素均與未遵守基本安全協議有關：

1. 未啓用多因素身份驗證 (MFA)，這意味着成功的身份驗證只需要有效的用户名和密碼
2. 過去信息竊取程序感染所竊取的憑證尚未輪換或更新
3. 受影響的 Snowflake 客户實例沒有設置網絡允許列表，因此僅允許從受信任的位置進行訪問

Mandiant 建議各組織進行緊急憑證監控並普遍實施 MFA 和安全身份驗證，以減輕未來類似的攻擊風險。