安全研究人员报告称,数百名Snowflake云存储客户的“大量数据”通过泄露的登录凭证遭到窃取,该事件与Ticketmaster和SantanderBank的大规模数据泄露事件有关。
与Snowflake一起调查数据盗窃事件的安全公司Mandiant周一宣布,已将活动追踪到“以经济为目的的威胁行为者”,并确定其为UNC5537。自4月份发现持续的威胁活动以来,这两家公司已通知至少165个Snowflake客户组织可能已受到攻击,Mandiant表示其调查尚未发现“任何证据表明”Snowflake的企业环境遭到入侵。
Ticketmaster、SantanderBank和LendingTree子公司QuoteWizard近期的数据泄露都与这些公司使用的Snowflake云存储账户有关。到目前为止,有关这些账户如何被盗的官方细节很少,此前的一份第三方报告在Snowflake发表声明称平台本身没有过错后被撤下。
Mandiant经过调查后表示,尚未确定身份的UNC5537组织正在“系统性地入侵”Snowflake客户,这些登录凭据是通过历史信息窃取恶意软件感染非Snowflake系统而窃取的。其中一些凭据可追溯到2020年,它们使UNC5537能够从Snowflake客户实例中窃取数据,试图在网络犯罪论坛上出售这些数据并勒索受害者。
Mandiant表示,UNC5537活动已导致“多次成功入侵”,原因是受影响账户的安全措施不力,这些账户未更新被盗登录凭据,未使用多因素身份验证(MFA)或网络允许列表。Mandiant评估UNC5337可能会在“不久的将来”针对更多平台,因此受害者名单虽然大部分尚未确定,但预计还会增加。