Компания Mandiant обнаружила кампанию, которая направлена на базы данных клиентов Snowflake с целью кражи данных и вымогательства. Угроза, известная как UNC5537, скомпрометировала клиентские инстанции Snowflake, используя украденные учетные данные. Они затем продавали данные жертв на киберпреступных форумах и пытались вымогать деньги у многих организаций. Однако Mandiant не обнаружила доказательств того, что несанкционированный доступ был получен в результате взлома корпоративной среды Snowflake. Вместо этого все инциденты были связаны с компрометацией учетных данных клиентов.
В апреле 2024 года Mandiant получила информацию об угрозах в отношении записей базы данных. Жертва привлекла Mandiant для расследования подозрений в краже данных. Исследование выявило, что угроза получила доступ к экземпляру Snowflake организации с использованием украденных учетных данных. К учетной записи не была включена многофакторная аутентификация (MFA). На основе дополнительной информации в конце мая, Mandiant связалась со Snowflake и начало уведомлять потенциальных жертв. Всего было уведомлено около 165 уязвимых организаций, которые взаимодействуют со службой поддержки клиентов Snowflake для обеспечения безопасности их учетных записей и данных.
Согласно расследованию Mandiant, угроза UNC5537 получила доступ к клиентским экземплярам Snowflake с помощью украденных учетных данных. Большинство учетных данных, используемых угрозой, были получены из исторических инфекций вредоносных программ. Взломанные учетные данные оставались действительными даже после многих лет с момента их кражи. Кроме того, клиентские экземпляры Snowflake не были настроены на многофакторную аутентификацию, и списки разрешений сети не были составлены для ограничения доступа.
Indicators of Compromise
IPv4
- 102.165.16.161
- 104.129.24.115
- 104.129.24.124
- 104.223.91.28
- 146.70.117.210
- 146.70.117.56
- 146.70.119.24
- 146.70.124.216
- 146.70.165.227
- 146.70.166.176
- 146.70.171.112
- 146.70.171.99
- 154.47.30.137
- 154.47.30.150
- 162.33.177.32
- 169.150.201.25
- 169.150.203.22
- 169.150.223.208
- 173.44.63.112
- 176.123.3.132
- 176.123.6.193
- 176.220.186.152
- 184.147.100.29
- 185.156.46.144
- 185.156.46.163
- 185.204.1.178
- 185.213.155.241
- 185.248.85.14
- 185.248.85.59
- 192.252.212.60
- 193.32.126.233
- 194.230.144.126
- 194.230.144.50
- 194.230.145.67
- 194.230.145.76
- 194.230.147.127
- 194.230.148.99
- 194.230.158.107
- 194.230.158.178
- 194.230.160.237
- 194.230.160.5
- 198.44.129.82
- 198.44.136.56
- 198.44.136.82
- 198.54.130.153
- 198.54.131.152
- 198.54.135.35
- 198.54.135.67
- 198.54.135.99
- 204.152.216.105
- 206.217.205.49
- 206.217.206.108
- 37.19.210.21
- 37.19.210.34
- 45.134.140.144
- 45.134.142.200
- 45.155.91.99
- 45.27.26.205
- 45.86.221.146
- 5.47.87.202
- 66.115.189.247
- 66.63.167.147
- 79.127.217.44
- 87.249.134.11
- 93.115.0.49
- 96.44.191.140
