根據(jù)谷歌公司Mandiant近日發(fā)布的報(bào)告，美國(guó)互聯(lián)網(wǎng)巨頭-云存儲(chǔ)提供商Snowflake的數(shù)據(jù)泄露事件，迄今為止已影響165家組織機(jī)構(gòu)，包括Ticketmaster、Advance Auto Parts、Santander 等知名企業(yè)。Mandiant還表示，此次數(shù)據(jù)泄露事件的漏洞來自于客戶憑證的泄露，其中許多憑證沒有啟用多因素身份驗(yàn)證（MFA）。

Snowflake 數(shù)據(jù)泄露事件始末

Mandiant將此次漏洞歸咎于 UNC5537，"這是一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的威脅行為者，涉嫌從 Snowflake客戶環(huán)境中竊取大量記錄。UNC5537正在使用竊取的客戶憑據(jù)系統(tǒng)地入侵 Snowflake 客戶實(shí)例，在網(wǎng)絡(luò)犯罪論壇上發(fā)布出售受害者數(shù)據(jù)的廣告，并試圖敲詐許多受害者"。

Mandiant表示，該威脅組織總部設(shè)在北美，另有一名成員在土耳其。

“Mandiant的調(diào)查沒有發(fā)現(xiàn)任何證據(jù)表明，對(duì)Snowflake 客戶賬戶的未授權(quán)訪問源于 Snowflake 企業(yè)環(huán)境的漏洞，”Mandiant 的研究人員寫道。“相反，Mandiant 回應(yīng)的每一起與此活動(dòng)相關(guān)的事件都可追溯到客戶憑證受損。”

Mandiant 在 4 月份首次發(fā)現(xiàn)了 Snowflake 數(shù)據(jù)泄露活動(dòng)的證據(jù)，當(dāng)時(shí)該公司 “收到了關(guān)于數(shù)據(jù)庫(kù)記錄的威脅情報(bào)，隨后確定這些記錄來自受害者的 Snowflake 實(shí)例”。

在隨后的調(diào)查中，Mandiant 發(fā)現(xiàn)該組織的 Snowflake 實(shí)例已被一名威脅者利用之前通過信息竊取惡意軟件竊取的憑證入侵。Mandiant 說：“威脅者使用這些被盜憑證訪問了客戶的 Snowflake 實(shí)例，并最終流出了寶貴的數(shù)據(jù)。在入侵發(fā)生時(shí)，該賬戶沒有啟用多因素身份驗(yàn)證 (MFA)。”

黑客使用了信息竊取程序竊取的憑證

Mandiant 表示，迄今為止，其對(duì)被黑的 Snowflake 客戶的調(diào)查發(fā)現(xiàn)，UNC5537 能夠通過竊取的客戶憑據(jù)獲得訪問權(quán)限，這些憑據(jù)主要是從感染非 Snowflake 所有系統(tǒng)的多個(gè)信息竊取惡意軟件活動(dòng)中獲得的。

其中一些信息竊取惡意軟件感染最早可追溯到 2020 年，使用的信息竊取惡意軟件變種包括 VIDAR、RISEPRO、REDLINE、RACOON STEALER、LUMMA 和 METASTEALER。

對(duì) Snowflake 客戶實(shí)例的初始訪問通常是通過在 Windows Server 2022 上運(yùn)行的本地基于 Web 的用戶界面（SnowFlake UI 又名 SnowSight）或命令行界面 (CLI) 工具（SnowSQL）進(jìn)行的。Mandiant 發(fā)現(xiàn)了利用名為 “rapeflake ”的攻擊者實(shí)用程序進(jìn)行的其他訪問，Mandiant 將其追蹤為 FROSTBITE。

 Snowflake攻破攻擊路徑(圖源: Mandiant)

除了缺乏 MFA 外，Mandiant 還表示，一些受影響的賬戶在憑證被盜后沒有更新憑證，即使已經(jīng)過去了很長(zhǎng)時(shí)間。受影響的 Snowflake 實(shí)例也沒有使用網(wǎng)絡(luò)允許列表，只允許來自受信任位置的訪問。

可疑 IP 地址列表可在 VirusTotal 上找到，Snowflake 還發(fā)布了詳細(xì)的安全信息，包括入侵指標(biāo)（IoC）。

總結(jié)

網(wǎng)絡(luò)攻擊手段層出不窮，導(dǎo)致的數(shù)據(jù)泄露事件屢見不鮮，企業(yè)不僅需要采取部署防火墻、入侵檢測(cè)系統(tǒng)、SSL證書等安全防護(hù)措施，還需要實(shí)施多因素身份驗(yàn)證（MFA）來增強(qiáng)賬號(hào)的安全性，減少客戶憑證被盜的風(fēng)險(xiǎn)，此外也要定期更新和維護(hù)軟件，及時(shí)安裝最新的安全補(bǔ)丁以修復(fù)已知的漏洞，以確保企業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全。

來源：thecyberexpress；資料鏈接：https://thecyberexpress.com/snowflake-breach-victims-165-organizations/