Mandiant, Santander ve Ticketmaster da dahil olmak üzere 160’tan fazla müşterinin, UNC5537 olarak takip ettiği finansal motivasyona sahip bir tehdit aktörü tarafından hedefli bir kampanyada ele geçirildiğine dair kanıtları ortaya çıkardıktan sonra Snowflake müşterilerini, temel kimlik bilgileri hijyeni konusunda oyunlarını hızlandırmaları konusunda uyardı.
Mandiant, UNC5537’nin çalıntı kimlik bilgilerini kullanarak Snowflake müşteri örneklerini sistematik olarak tehlikeye attığını, çalınan verileri karanlık web forumlarında satışa sunduğunu ve kurbanların çoğunu şantaj yapmaya çalıştığını söyledi.
Daha önce kendi kurumsal ortamından herhangi bir tehlike tespit edemediğini söyleyen Vindicating Snowflake Mandiant, izlediği her durumda bu uzlaşmanın mağdur müşterideki zayıf siber güvenlik hijyeninin bir sonucu olduğunu söyledi.
“En az Nisan 2024’ten bu yana UNC5537, 100’den fazla Snowflake müşteri kiracısına erişmek için çalınan kimlik bilgilerinden yararlandı. Mandiant Consulting CTO’su Charles Carmakal, “Tehdit aktörü sistematik olarak müşteri kiracılarının güvenliğini ihlal etti, verileri indirdi, kurbanlara şantaj yaptı ve mağdur verilerinin satışını siber suç forumlarında ilan etti” dedi.
“MFA olmadan yapılandırılmış Snowflake müşteri hesapları, genellikle kişisel bilgisayarlardan bilgi hırsızlığı yapan kötü amaçlı yazılımlar tarafından çalınan kimlik bilgileri ve ağ izin listeleri olmadan yapılandırılmış kiracılar da dahil olmak üzere, hedeflenen tehdit kampanyasına birden fazla faktörün birleşimi katkıda bulundu. Bu tehdit aktörünün ve diğerlerinin bu kampanyayı diğer SaaS çözümlerinde tekrarlayacağını öngördüğümüz için, kuruluşların bilgi hırsızları tarafından çalınan kimlik bilgilerine maruz kalma durumunu değerlendirmeleri kritik önem taşıyor.”
Mandiant, kurbanların kimlik bilgilerini çalmak için kullanılan bilgi hırsızlarının, bazılarının geçmişi 2020 yılına kadar uzanan çeşitli kötü amaçlı yazılım kampanyalarına dağıtıldığını söyledi. Kullanılan kötü amaçlı yazılımlardan bazıları arasında Vidar, Risepro, Redline, Racoon Stealer, Lumma ve Metast yer alıyordu.
Ayrıca, etkilenen hesaplarda çok faktörlü kimlik doğrulamanın etkinleştirilmediğini, bunun da tehdit aktörlerinin oturum açmasını önemsiz hale getirdiğini ve birçok durumda, tanımlanan kimlik bilgilerinin yıllar öncesine ait olduğunu ve ele geçirildiğinden beri değiştirilmediğini veya güncellenmediğini belirtti. Etkilenen müşteriler, yalnızca güvenilir konumlardan erişimi mümkün kılmak için ağ izin listeleri oluşturmamıştı.
İlgili olarak, çoğu durumda bilgi hırsızlarının, oyun oynamak ve korsan yazılım veya içerik indirmek de dahil olmak üzere kişisel amaçlarla da kullanılan üçüncü taraf yüklenici bilgisayar sistemlerine ulaştığı belirlendi.
Mandiant, kuruluşların çoğunun, birden fazla müşterinin sistemlerine erişmek için genellikle yükseltilmiş yönetici ayrıcalıklarıyla kişisel veya izlenmeyen bilgisayarları kullanması ve UNC5537’nin kampanyasını daha da kolaylaştırması nedeniyle, yüklenicilerin hijyeni konusunda daha katı olmaları konusunda uyardı.
UNC5537 kimdir?
UNC5537, Mandiant tarafından yalnızca son birkaç hafta içinde resmi olarak tanımlandı ve takip edildi; dolayısıyla şimdilik yalnızca Mandiant’ın sınıflandırmasında görünüyor.
Hiçbir ulus devletle görünürde bağlantısı olmayan, finansal motivasyona sahip bir tehdit aktörü olan UNC5537, dünya çapında yüzlerce kuruluşu hedef aldı. Üyelerinin neredeyse tamamı Kuzey Amerika’da bulunuyor ve bilinen bir işbirlikçisinin Türkiye’ye geldiği biliniyor ve diğer gruplarla ilişkileri de olabilir.
Bir dizi takma ad altında faaliyet gösteriyorlar, Telegram kanalları ve siber suç forumları aracılığıyla koordinasyon sağlıyorlar ve kurban örneklerine öncelikle Mullvad veya Özel İnternet Erişimi (PIA) sanal özel ağ (VPN) IP adreslerini kullanarak erişiyorlar. Çalınan veriler, Moldova merkezli Alexhost’un sanal özel sunucuları (VPS) üzerinden aktarıldı ve diğer birçok VPS sağlayıcısının ve bulut depolama sağlayıcısı Mega’nın sistemlerinde depolandı.
Mandiant, UNC5537’nin kampanyasının özellikle yeni veya karmaşık olmadığını ve bu kadar geniş bir etkiye sahip olmasının, daha doğru bir şekilde bilgi hırsızlarının artan kullanımının yanı sıra mağdurların kendilerini güvence altına almak için kaçırdıkları fırsatların bir sonucu olduğunu söyledi.