威胁行为者刚刚完成了 2024 年最大的数据泄露事件之一,他们甚至不必入侵公司的环境。他们的目标是什么?从云存储系统中窃取数据并勒索受害者以获取经济利益。
针对 Snowflake 客户的活动并不是新颖或复杂的策略、技术或程序 (TTP) 的结果。相反,该活动背后的威胁行为者购买或发现已经可用的暴露的合法凭据,并使用它们登录。对于没有多重身份验证 (MFA) 的帐户,仅此而已。正在进行的 Snowflake 活动为凭证管理提供了另一个引人注目的用例,并警告了信息窃取者和被盗凭据的危险。
2024 年 5 月下旬,一个被追踪为 UNC5537 的出于经济动机的威胁行为者开始在网络犯罪论坛上宣传出售 Ticketmaster 和 Santander 的数据,声称他们已经破坏了云数据仓库平台 Snowflake。
Snowflake 和 Mandiant 的分析发现,使用被盗的客户凭据破坏了个人客户帐户。根据 Mandiant 的说法,威胁行为者可能已经能够使用这些暴露的凭据访问大约 165 家公司的帐户。
关键要点
几个关键要点:
-
受影响的帐户未配置 MFA。成功的身份验证只需要有效的用户名和密码,这使威胁参与者可以轻松访问目标帐户。
-
分析显示,在信息窃取恶意软件输出中发现的一些凭据已经在暗网上出售多年,并且仍然有效,这意味着这些凭据没有被轮换或更新。信息窃取程序是一种恶意软件,旨在从受感染的设备中窃取敏感信息,这可能导致未经授权的访问和数据盗窃。在 Snowflake 攻击的情况下,信息窃取者通过受感染的设备捕获了 Snowflake 客户用户的登录凭据,从而允许攻击者访问存储在平台上的客户帐户和数据。此外,信息窃取者可能会泄露敏感的客户信息,包括个人数据、财务记录和商业智能。
-
受感染的 Snowflake 实例没有网络允许列表。允许列表涉及编译受制裁实体的列表,例如 IP 地址、域和应用程序。只有此指定列表中的实体才被授予对特定资源的访问权限或可以执行特定操作的权限。此方法通过减少攻击面和限制对受信任、经过验证的实体的访问来帮助增强安全性。
鉴于该活动的高调成功以及云存储提供商通常可用的数据的深度和广度,我们可以预期类似的凭证填充工作会有所增加。现在是时候验证您的相关安全控制(例如密码策略)是否尽可能安全,以避免潜在的风险。
如何增强防御力
如何增强对此类攻击的防御能力?
-
启用 MFA。 MFA 是一种简单而高效的措施,可以显著改善组织的安全状况和弹性。凭据可能会通过网络钓鱼或恶意软件(如信息窃取程序)被盗。但是,MFA 不仅需要密码来访问帐户,还增加了额外的安全层,使攻击更难获得未经授权的访问。
-
管理您的凭据。 尽组织所能,监视暗网中是否有公开的凭据。这可能是通过供应商、信用监控或其他途径。如果您收到个人信息已泄露的通知,请务必尽快采取行动评估风险并确定适当的后续步骤,包括可能更改密码。
-
监控针对供应商的网络活动。 通过开源报告或其他方式建立监控,以获得可能针对关键服务提供商的网络攻击活动的早期预警。使用预先通知更改凭据,并确认与受影响公司的连接中的策略合规性。
最近的 Snowflake 帐户攻击凸显了强大的凭据管理和 MFA 在保护云存储系统方面的重要性。随着基于凭据的攻击的频率和规模可能会增加,现在是组织加强防御并确保其安全实践能够抵御不断变化的威胁的时候了。