行业新闻与博客

Mandiant 警告称，一名网络威胁行为者涉嫌从数据仓库平台 Snowflake 窃取了大量客户数据。 

这个名为 UNC5537 的威胁行为者出于经济动机，在网络犯罪论坛上宣传出售被盗数据，并试图勒索大量受害者。

迄今为止，已有 165 家使用 Snowflake 的组织收到可能已受到暴露的通知。

Snowflake 是一个多云数据仓库平台，允许客户存储和分析大量结构化和非结构化数据。

Mandiant 的研究人员表示，UNC5537 正在利用被盗的客户凭证“系统地”入侵 Snowflake 客户实例。

Mandiant 所响应的与此活动相关的每个事件都可以追溯到被泄露的客户凭证，这些凭证主要从感染非 Snowflake 所拥有的系统的多个信息窃取恶意软件活动中获得。

没有证据表明这些事件是由 Snowflake 企业环境遭到破坏引起的。

Snowflake 客户数据如何被泄露

Mandiant 分析了数据库记录，随后确定这些记录源自 2024 年 4 月受害者的 Snowflake 实例。

Mandiant 的调查显示，该组织的 Snowflake 平台遭到威胁行为者利用窃取的凭证入侵，从而窃取了宝贵的数据。

在获得更多情报，确定存在针对客户 Snowflake 平台的更广泛攻击活动后，Mandiant 于 2024 年 5 月联系了该数据仓库平台，告知了他们的调查结果。

该报告促成了受害者通知计划的实施，该计划旨在通知潜在受害者并帮助他们保护他们的账户和数据。

Mandiant 和 Snowflake 的联合调查发现，UNC5537 使用的大部分凭证都来自最早可追溯到 2020 年的历史信息窃取程序感染。

信息窃取恶意软件变种包括 VIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA 和 METASTEALER。

Mandiant 和 Snowflake 的分析发现，威胁行为者利用的账户中至少有 79.7% 曾有过凭证暴露。

UNC5537 还被评估对目标 Snowflake 平台进行了侦察。威胁行为者使用名为 FROSTBOTE 的工具执行 SQL 侦察活动，包括列出用户、当前角色、当前 IP、会话 ID 和组织名称。

一旦客户帐户被盗用，UNC5537 就会在众多客户 Snowflake 实例中反复执行类似的 SQL 命令来存储和窃取数据。

Mandiant 写道：“威胁行为者随后开始直接勒索许多受害者，并积极试图在公认的网络犯罪论坛上出售被盗的客户数据。”

UNC5537 自 2024 年 5 月起被认定为一个独特的集群，Mandiant 评估认为该集群成员位于北美，具有中等信心。据观察，该威胁行为者针对全球数百个组织，并经常勒索受害者以牟取经济利益。

缺乏 MFA 导致攻击者得逞

Mandiant 研究人员确定了导致攻击者成功入侵受影响的 Snowflake 客户实例的三个主要因素，这些因素均与未遵守基本安全协议有关：

1. 未启用多因素身份验证 (MFA)，这意味着成功的身份验证只需要有效的用户名和密码
2. 过去信息窃取程序感染所窃取的凭证尚未轮换或更新
3. 受影响的 Snowflake 客户实例没有设置网络允许列表，因此仅允许从受信任的位置进行访问

Mandiant 建议各组织进行紧急凭证监控并普遍实施 MFA 和安全身份验证，以减轻未来类似的攻击风险。