Tehdit aktörleri, kimlik hırsızlığı, dolandırıcılık ve veri hırsızlığı amacıyla kişisel ve kurumsal ayrıntılara, banka hesaplarına ve kurumsal kaynaklara yetkisiz erişim sağlamak amacıyla ağlara sızar.
Bir sisteme erişim sağlamak, farklı bölümlere girmek ve büyük hasar oluşana kadar fark edilmeyebilecek diğer yasa dışı eylemleri gerçekleştirmek için yasal kullanıcı kılığına girebilirler.
Google Cloud’daki siber güvenlik araştırmacıları yakın zamanda UNC5537 bilgisayar korsanlarının çalıntı giriş bilgileriyle Snowflake müşteri örneklerini aktif olarak ele geçirdiğini tespit etti.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
UNC5537 Bilgisayar Korsanları Kar Taneciği’ni Ele Geçiriyor Veritabanları
Snowflake müşteri veritabanı örnekleri, mali motivasyonlu bir tehdit grubu olan UNC5537 tarafından yürütülen Mandiant tarafından keşfedilen bir veri hırsızlığı ve gasp kampanyasının hedefleridir.
Aktörler, çalıntı kimlik bilgilerini elde etmek için bilgi hırsızı kötü amaçlı yazılımdan yararlanıyor ve bunları daha sonra çok faktörlü kimlik doğrulama olmadan kurban ortamlarını sistematik olarak tehlikeye atmak için kullanıyorlar.
Büyük miktarda veriyi sızdırdıktan sonra, mağdurları yalnız bırakılmaları için para ödemeye zorlarken, çalınan kayıtlardan bazılarını internette satışa çıkaracaklar.
Bunun yerine araştırmalar, yetkisiz erişimin Snowflake’in sistemlerinin hacklenmesinden ziyade, müşteri kimlik bilgilerinden kaynaklandığını gösteriyor.
Mandiant ve Snowflake, Mayıs 2024’te koordineli bir çalışmanın parçası olarak potansiyel olarak etkilenen yaklaşık 165 kuruluşu ortaklaşa bilgilendirdi ve daha sonra bu tür saldırıların nasıl tespit edilebileceğine dair tavsiyelerde bulundu.
Bu ortak soruşturma, kolluk kuvvetlerinin de katılımıyla devam ediyor.
Birden fazla şirketin Snowflake örnekleri, çoğunlukla 2020’de başlayan bilgi hırsızlığı amaçlı kötü amaçlı yazılım saldırılarından elde edilen çalıntı müşteri kimlik bilgilerini kullanabilen UNC5537 tarafından saldırıya uğradı.
Belirli hesaplarda çok faktörlü kimlik doğrulamanın olmaması, değiştirilmemiş ancak geçerli ancak güvenliği ihlal edilmiş şifreler ve ağ izin verilenler listesi kontrollerinin oluşturulmaması, tehdit aktörünün sisteme girmesine ve büyük miktarda müşteri verisi çalmasına olanak tanıdı.
UNC5537 daha sonra doğrudan şantaj girişimlerinde bulundu ve çalınan belgeleri yasa dışı web sitelerinde yayınladı.
Bu, yetersiz bulut erişim kontrolü ve kimlik bilgisi yönetiminin bu tür bilgiler için ne kadar tehlikeli olabileceğini gösteriyor.
UNC5537’nin 2020’den bu yana farklı bilgi hırsızı kötü amaçlı yazılımlara ait birçok Snowflake istemci kodunu kullandığı tespit edildi.
Hatta bazıları Kasım 2020’de piyasaya sürüldü.
İhlal edilen hesaplardan bazıları (en az %79,7) çok faktörlü kimlik doğrulamayla korunmadı ve birçok durumda yüklenicilerin çeşitli istemcilere erişen kişisel cihazlarına şifre yeniden kullanımı veya kazara bulaşma nedeniyle saldırı düzenlendi.
İlk olarak, Snowflake’in web kullanıcı arayüzü, CLI aracı ve keşif amaçlı “FROSTBITE” adı verilen özel bir yardımcı program aracılığıyla bu sistemlere ilk erişim sağlandı.
Tehdit aktörleri daha sonra erişim kontrollerinin ve kimlik bilgileri hijyeninin eksikliğinden yararlanarak, SQL sorguları ve DBeaver veritabanı yönetim aracı aracılığıyla güvenliği ihlal edilmiş örneklerdeki verileri sistematik olarak aşamalandırdı ve sızdırdı.
IOC’ler
İstemci Uygulama Kimlikleri: –
- Rapeflake
- DBeaver_DBeaverUltimate
- 1.1.5’e git
- JDBC 3.13.30
- JDBC 3.15.0
- PythonConnector 2.7.6
- SnowSQL 1.2.32
- Kar Tanesi Kullanıcı Arayüzü
- Kar Görüşü Al
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo