超過 150 家公司參與了對雲端巨頭 Snowflake 的入侵。 Mandiant 研究人員發現,一個團夥正在利用被盜的憑證來策劃進一步的資訊盜竊和勒索錢。我們對違規情況進行評估。
上週,我們透露專門從事雲端儲存的公司 Snowflake 已被大量資料外洩的受害者。據該公司稱,網路犯罪分子成功竊取憑證部分客戶使用資訊竊取者類型的惡意軟體。這些病毒部署在員工電腦上,竊取了大量的身份資訊。很快就找到了數據違規論壇,一個在網路犯罪分子中非常流行的平台。
這項披露引發了人們的擔憂,即 Snowflake 客戶很快就會發現自己成為駭客的攻擊目標。此外,Snowflake 的雲端服務客戶之一 TicketMaster 也是入侵的受害者。襲擊者帶著來自超過5億用戶的數據。不久之後,也在 Snowflake 雲端上儲存資料的西班牙桑坦德銀行也記錄了一次資訊竊盜事件,緊隨其後的是 QuoteWizard。 Lending Tree 子公司表示,Snowflake 警告其敏感資料外洩。
已有 165 名受害者
正如安全專家所擔心的那樣,事情不太可能就此結束。據谷歌旗下網路安全公司 Mandiant 的研究人員稱,直到165 雪花客戶受到違規行為的影響。
「迄今為止,Mandiant 和 Snowflake 已通知大約 165 個可能暴露的組織。 Snowflake 客戶支援已直接聯繫這些客戶,以確保他們的帳戶和資料的安全”曼迪安特詳細介紹說,這表明在不久的將來可能會發現其他受害者。
所有公司的 Snowflake 帳戶最近都受到病毒的侵害,這些病毒長期隱藏在電腦中。涉及的惡意軟體包括 Vidar、Risepro、Redline、Raccoon Stealer、Lumma 和 MetaStealer 等知名惡意軟體。其中一些病毒早在 2020 年就已部署在電腦上。在某些情況下,軟體多年來一直隱藏在電腦上。
正如 Mandiant 所指出的,該惡意軟體“受感染的非雪花系統”。顯然,美國社會的基礎設施並沒有受到安全漏洞的影響。 Mandiant 的調查證實,這些資訊確實是透過 Snowflake 客戶員工使用的受損電腦恢復的。
“如果受到資訊竊取者惡意軟體的破壞,單一承包商的筆記型電腦可以為多個組織的攻擊者提供輕鬆訪問”Mandiant 解釋道,他強調所有相關公司之間的相互聯繫。
駭客利用這些資料侵入了 Snowflake 租用的伺服器,導致“匯出大量客戶資料”。攻擊的最後階段於 2024 年 4 月下旬開始。
誰是網路攻擊的幕後黑手?
此次行動是由一群網路犯罪分子,Mandiant 引用的代號為「UNC5537」。不出所料,該團伙的成員主要分佈在北美,其目的是牟利。這就是為什麼被盜資料被用來進行敲詐勒索活動並在犯罪論壇上轉售的原因。 Mandiant 也注意到該團夥“針對全球數百個組織”。
Mandiant 發現的三項疏忽
Mandiant 表示,網路犯罪分子的一些疏忽使得他們達到了目的。正如 Snowflake 所宣布的那樣,受感染的帳戶不受雙重認證的保護。因此,輸入識別碼就足以存取客戶的帳戶。
此外,研究人員遺憾的是,身分資訊“仍然有效”,在他們飛行多年後。不過,專家建議定期更改您的密碼以防止駭客攻擊。這個好習慣有助於防止基於舊資料的攻擊。
最後,受影響的 Snowflake 伺服器沒有受到保護權限列表關於地點。這些清單僅授權存取位於特定位置的電腦。這種預防措施也可能為海盜設置障礙。在這種情況下,駭客能夠毫無障礙地連接到伺服器。
來源 : 曼迪安特
