Snowflakeのデータが狙われる データを盗まれたアカウントの特徴:セキュリティニュースアラート
Snowflakeユーザーの情報を標的とした脅威キャンペーンの存在が明らかになった。侵害されたアカウントの特徴は。
米国のセキュリティベンダーであるMandiantは2024年6月11日(現地時間)、データクラウドサービスを提供するSnowflakeの顧客データをターゲットとする脅威キャンペーンを特定したと報告した。
狙われたSnowflakeの顧客データ 侵害されたアカウントの特徴は?
今回明らかになった脅威キャンペーンには金銭を目的にデータ窃取と恐喝をもくろむ脅威アクター「UNC5537」が関与しているとみられている。脅威アクターの具体的な手口と、同キャンペーンへの対応策は何か。
Mandiantによると、UNC5537の攻撃は全て侵害された顧客の認証情報に起因するものだという。攻撃者は以前インフォスティーラーマルウェアによって盗まれた資格情報を使用して顧客のSnowflakeインスタンスにアクセスしている。
UNC5537は北米とトルコのメンバーから構成されており、データを窃取する際はモルドバのVPSシステムを使用していた。
Mandiantは、この脅威キャンペーンで侵害が「成功」した要因として次の3点を挙げる。
- 影響を受けたアカウントでは多要素認証が有効になっていなかった
- 盗まれた資格情報はローテーションされておらず、長期間同じものが使われていた
- 侵害されたSnowflakeインスタンスには、信頼できる場所からのアクセスのみを許可するネットワーク許可リストが設定されていなかった
使用されたSnowflakeの顧客認証情報は「VIDAR」や「RISEPRO」「REDLINE」「RACOON STEALER」LUMMA」METASTEALER」などのインフォスティーラーマルウェアによって窃取されたとみられている。
Snowflakeインスタンスへの最初のアクセスには「Windows Server 2022」で実行されるネイティブのWebベースUI(SnowFlake UI、別名SnowSight)やCLIツール(SnowSQL)が使われており、独自ユーティリティー「rapeflake」を使用して偵察活動を実施していたことも確認されている。
UNC5537は主にMullvadまたはPrivate Internet Access(PIA)VPN IPアドレスを使用してSnowflakeインスタンスにアクセスしている。
データを盗み出す際はモルドバのプロバイダーであるALEXHOST SRLのVPSシステムを使用していたとされている。
Mandiantは、「UNC5537のサイバー攻撃はインフォスティーラー市場で流通している認証情報の影響を浮き彫りにしている」とし、脅威アクターが同様のSaaSプラットフォームを標的にする可能性があると警告している。企業はセキュリティリスクへの対策を強化することが求められている。
関連記事
- 三井不動産、未把握のIT資産特定に向けMandiant Attack Surface Managementを導入
三井不動産はインターネットに公開する資産における攻撃対象領域(アタックサーフェス)の把握に向けて「Mandiant Attack Surface Management」を導入した。 - 出荷時リセットでも排除できない Ivantiデバイスに展開されたマルウェアに警戒を
Mandiantは、Ivantiデバイスに攻撃を仕掛ける脅威アクターUNC5325が使用するマルウェアが、システムアップグレードやパッチ適用後も排除できないと伝えた。数千ものデバイスに影響を及ぼしている可能性がある。 - Google、ゼロデイ攻撃を分析した最新レポートを公開 97件の攻撃から見えたこと
Googleはゼロデイ攻撃に関する最新の分析レポートを公開した。エンドユーザー向けプラットフォームと企業向けテクノロジーを対象にゼロデイ攻撃を分析しており、その中で合計97件のゼロデイ攻撃が見つかった。 - 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
Mandiantは「M-Trends 2024 Special Report」を公開した。サイバー攻撃者は、検出回避に焦点を当ててネットワークに長くとどまることに重点を置いているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.