Snowflake’in 165 kadar müşterisinin, veri hırsızlığını ve gaspı kolaylaştırmak için tasarlanmış devam eden bir kampanyanın parçası olarak bilgilerinin potansiyel olarak ifşa edildiği söyleniyor, bu da operasyonun önceden düşünülenden daha geniş kapsamlı sonuçlara sahip olduğunu gösteriyor.
Bulut veri depolama platformuna olay müdahale çalışmalarında yardımcı olan Google’ın sahibi olduğu Mandiant, henüz sınıflandırılmamış etkinlik kümesini şu ad altında izliyor: UNC5537onu finansal motivasyona sahip bir tehdit aktörü olarak tanımlıyor.
Tehdit istihbarat firması Pazartesi günü yaptığı açıklamada, “UNC5537, çalınan müşteri kimlik bilgilerini kullanarak Snowflake müşteri örneklerini sistematik olarak tehlikeye atıyor, siber suç forumlarında kurban verilerinin satışı için reklam yapıyor ve kurbanların çoğuna şantaj yapmaya çalışıyor.” dedi.
“UNC5537, dünya çapında yüzlerce kuruluşu hedef alıyor ve mali kazanç elde etmek için sıklıkla mağdurlardan şantaj yapıyor. UNC5537, Telegram kanallarında ve siber suç forumlarında çeşitli takma adlar altında faaliyet gösteriyor.”
Hacking grubunun Kuzey Amerika merkezli üyelerden oluştuğunu gösteren kanıtlar var. Ayrıca Türkiye merkezli en az bir partiyle daha işbirliği yapacağına inanılıyor.
Etkilenen müşterilerin sayısı ilk kez resmi olarak açıklandı. Snowflake daha önce olaydan “sınırlı sayıda” müşterisinin etkilendiğini belirtmişti. Şirketin 9.820’den fazla küresel müşterisi var.
Snowflake tarafından daha önce de belirtildiği gibi kampanya, siber suç forumlarından satın alınan veya Lumma, MetaStealer, Raccoon, RedLine, RisePro ve Vidar gibi bilgi çalan kötü amaçlı yazılımlar yoluyla elde edilen güvenliği ihlal edilmiş müşteri kimlik bilgilerinden kaynaklanıyor. 14 Nisan 2024’te başladığı düşünülüyor.
Birkaç örnekte, oyun oynama ve korsan yazılım indirme gibi kişisel faaliyetler için de kullanılan yüklenici sistemlerinde, korsan kötü amaçlı yazılım bulaşmaları tespit edilmiştir; korsan yazılımlar, hırsızları dağıtmak için denenmiş ve test edilmiş bir kanaldır.
Müşteri örneklerine yetkisiz erişimin, SQL sorgularını çalıştırmak ve kullanıcılar, mevcut roller, mevcut IP’ler, oturum kimlikleri ve kuruluş adları hakkında bilgi toplamak için kullanılan FROSTBITE (diğer adıyla “rapeflake”) adlı bir keşif yardımcı programının önünü açtığı tespit edildi. .
Mandiant, FROSTBITE’ın tam bir örneğini elde edemediğini söyledi; şirket aynı zamanda tehdit aktörünün Snowflake örnekleri arasında SQL sorgularını bağlamak ve çalıştırmak için DBeaver Ultimate adlı meşru bir yardımcı programı kullandığını da vurguladı. Saldırının son aşaması, düşmanın verileri hazırlamak ve sızdırmak için komutları çalıştırmasını içerir.
Snowflake, güncellenmiş bir danışma belgesinde, güvenlik önlemlerini güçlendirmek için müşterileriyle yakın işbirliği içinde çalıştığını söyledi. Ayrıca, çok faktörlü kimlik doğrulama (MFA) veya ağ politikaları gibi gelişmiş güvenlik kontrollerini uygulamalarını zorunlu kılacak bir plan geliştirildiğini de belirtti.
Mandiant, saldırıların üç ana nedenden dolayı oldukça başarılı olduğunu belirtti: çok faktörlü kimlik doğrulamanın (MFA) eksikliği, kimlik bilgilerinin periyodik olarak değiştirilmemesi ve yalnızca güvenilir konumlardan erişim sağlanmasına yönelik kontrollerin eksik olması.
Mandiant, “Tehdit aktörü tarafından kullanılan bir kimlik bilgisiyle ilişkili gözlemlenen en erken bilgi hırsızlığı bulaşma tarihi Kasım 2020’ye dayanıyordu” dedi ve bunun “2020’den bu yana bilgi hırsızları aracılığıyla açığa çıkan yüzlerce müşteri Snowflake kimlik bilgisini tanımladığını” ekledi.
“Bu kampanya, bilgi hırsızlığı pazarında dolaşan büyük miktardaki kimlik bilgilerinin sonuçlarını vurguluyor ve benzer SaaS platformlarındaki tehdit aktörlerinin belirli bir odağını temsil ediyor olabilir.”
Bulgular, bilgi hırsızlarına yönelik artan pazar talebinin ve bunların kuruluşlara yönelik oluşturduğu yaygın tehdidin altını çizmeye hizmet ediyor; bu da AsukaStealer, Cuckoo, Iluria, k1w1, SamsStealer ve Seidr gibi diğer şirketlere satışa sunulan yeni hırsız türlerinin düzenli olarak ortaya çıkmasına neden oluyor. suç aktörleri.
Cyfirma yakın tarihli bir analizde, “Şubat ayında Vidar kötü amaçlı yazılımının arkasındaki isim olan Sultan, antivirüs çözümlerine karşı savaşta birlikte tasvir edilen Lumma ve Raccoon hırsızlarının yer aldığı bir görsel paylaştı.” dedi. “Bu, hedeflerine ulaşmak için güçlerini birleştirdikleri ve altyapıyı paylaştıklarından tehdit aktörleri arasındaki işbirliğini akla getiriyor.”