Snowflakeユーザーの情報を標的とした脅威キャンペーンの存在が明らかになった。侵害されたアカウントの特徴は。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国のセキュリティベンダーであるMandiantは2024年6月11日(現地時間)、データクラウドサービスを提供するSnowflakeの顧客データをターゲットとする脅威キャンペーンを特定したと報告した。
今回明らかになった脅威キャンペーンには金銭を目的にデータ窃取と恐喝をもくろむ脅威アクター「UNC5537」が関与しているとみられている。脅威アクターの具体的な手口と、同キャンペーンへの対応策は何か。
Mandiantによると、UNC5537の攻撃は全て侵害された顧客の認証情報に起因するものだという。攻撃者は以前インフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしている。
UNC5537は北米とトルコのメンバーから構成されており、データを窃取する際はモルドバのVPSシステムを使用していた。
Mandiantは、この脅威キャンペーンで侵害が「成功」した要因として次の3点を挙げる。
使用されたSnowflakeの顧客認証情報は「VIDAR」や「RISEPRO」「REDLINE」「RACOON STEALER」LUMMA」METASTEALER」などのインフォスティーラーマルウェアによって窃取されたとみられている。
Snowflakeインスタンスへの最初のアクセスには「Windows Server 2022」で実行されるネイティブのWebベースUI(SnowFlake UI、別名SnowSight)やCLIツール(SnowSQL)が使われており、独自ユーティリティー「rapeflake」を使用して偵察活動を実施していたことも確認されている。
UNC5537は主にMullvadまたはPrivate Internet Access(PIA)VPN IPアドレスを使用してSnowflakeインスタンスにアクセスしている。
データを盗み出す際はモルドバのプロバイダーであるALEXHOST SRLのVPSシステムを使用していたとされている。
Mandiantは、「UNC5537のサイバー攻撃はインフォスティーラー市場で流通している認証情報の影響を浮き彫りにしている」とし、脅威アクターが同様のSaaSプラットフォームを標的にする可能性があると警告している。企業はセキュリティリスクへの対策を強化することが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.