Google Cloud傘下のMandiantによる新たなレポートによると、UNC5537という金銭目的の脅威アクターが、約165の組織のSnowflake顧客インスタンスからデータを収集・盗み出したことが明らかになりました。Snowflakeは、大量のデータの保存と分析に使用されるクラウドデータプラットフォームです。
脅威アクターは、インフォスティーラーマルウェアによって以前に盗まれた、または他のサイバー犯罪者から購入された資格情報をトリガーすることで、これらのデータにアクセスすることに成功しました。
Mandiantによると、脅威アクターUNC5537はサイバー犯罪フォーラムで被害者のデータを販売し、多くの被害者から金銭を巻き上げようとしている。データが販売されると、サイバー犯罪者はサイバースパイ活動、競合情報収集、あるいは金銭目的の詐欺など、様々な目的でこの情報を購入する可能性がある。
一部の Snowflake ユーザーはどのようにしてこのデータ盗難と恐喝の標的になったのでしょうか?
スノーフレーク、マンディアント、サイバーセキュリティ企業クラウドストライクが発表した共同声明によると、今回の不正行為がスノーフレークのプラットフォームの脆弱性、設定ミス、または侵害によって引き起こされたことを示す証拠は見つかっていない。また、スノーフレークの現従業員または元従業員の認証情報が漏洩したことが今回の不正行為の原因となったことを示す証拠も見つかっていない。
証拠によると、攻撃者はSnowflake以外のシステムに感染した複数のインフォスティーラーマルウェアキャンペーンから認証情報を入手しました。その後、攻撃者は影響を受けたアカウントへのアクセスを獲得し、それぞれのSnowflake顧客インスタンスから大量の顧客データを盗み出すことに成功しました。
Mandiantの研究者によると、UNC5537が使用した認証情報の大部分は、過去に利用されたインフォスティーラーマルウェアから入手したものであり、中には2020年11月に遡る情報も含まれていましたが、現在も使用可能でした。認証情報の窃取には、Vidar、Risepro、Redline、Racoon Stealer、Lumma、Metastealerといった様々なインフォスティーラーマルウェアファミリーが利用されていました。
Mandiant と Snowflake によると、脅威の攻撃者が利用したアカウントの少なくとも 79.7% は以前に資格情報が漏洩していました。
Mandiant はまた、インフォスティーラーマルウェアの最初の侵害は、ゲームや海賊版ソフトウェアのダウンロードなど、インフォスティーラーを拡散させる強力な媒介となる個人的な活動にも使用される請負業者のシステムで発生したと報告しました。
UNC5537 は盗まれた資格情報をどのように入手したのでしょうか?
報告されているように、脅威の攻撃者はさまざまな情報窃盗マルウェアから資格情報を入手しましたが、UNC5537 は以前に購入した資格情報も活用しました。
Mandiant からは追加情報は提供されていないものの、これらの認証情報は、盗んだ企業アクセス権を他の詐欺師に販売するサイバー犯罪者の一種である、いわゆる初期アクセス ブローカーが直接、1 つまたは複数のサイバー犯罪者の地下市場で購入したものと考えるのが妥当でしょう。
Mandiantのレポートによると、「アンダーグラウンドのインフォスティーラー経済も非常に活発であり、盗まれた認証情報の膨大なリストがダークウェブの内外で無料でも購入可能な形でも存在している」とのことです。また、Mandiantは2023年には、全体の侵入の10%が盗まれた認証情報から始まり、これは4番目に多い初期侵入経路であると報告しています。
このスノーフレーク攻撃における最初のアクセスとデータ流出の方法はどのようなものだったのでしょうか?
この攻撃キャンペーンでは、Snowflakeの顧客インスタンスへの初期アクセスは、多くの場合、Webからアクセス可能なネイティブユーザーインターフェース(Snowflake SnowSight)またはSnowflakeが提供するコマンドラインインターフェースツール(SnowSQL)を介して行われました。また、MandiantがFROSTBITEで追跡している「rapeflake」という攻撃者名付けツールも、Snowflakeインスタンスに対する偵察活動に使用されました。
FROSTBITEには少なくとも2つのバージョンが存在します。1つは.NETを使用してSnowflake .NETドライバとやり取りするもの、もう1つはJavaを使用してSnowflake JDBCドライバとやり取りするものです。このツールを使用すると、攻撃者はユーザー、現在のロール、現在のIPアドレス、セッションID、組織名の一覧表示などのSQLアクティビティを実行できます。
脅威の攻撃者は、データベースを管理するための公開ツールである DBeaver Ultimate も使用して、Snowflake インスタンスでクエリを実行しました。
脅威アクターはSQLクエリを用いてデータベースから情報を盗み出すことに成功しました。興味深いデータが見つかると、「COPY INTO」コマンドを用いてGZIP形式で圧縮し、盗み出すデータのサイズを縮小しました。
攻撃者は主にMullvadとPrivate Internet AccessのVPNサービスを利用して被害者のSnowflakeインスタンスにアクセスしました。モルドバのVPSプロバイダーであるALEXHOST SRLもデータの窃取に利用されました。攻撃者は被害者のデータを複数の国際的なVPSプロバイダーに加え、クラウドストレージプロバイダーのMEGAにも保存していました。
どのような組織が危険にさらされているのでしょうか?
この攻撃キャンペーンは、Snowflakeのシングルファクター認証ユーザーを狙った標的型攻撃であると思われます。マルチファクター認証を使用しているすべてのユーザーはこの攻撃キャンペーンの影響を受けず、標的にされていません。
さらに、影響を受けた Snowflake 顧客インスタンスには、信頼できる場所からの接続のみを許可する許可リストが設定されていませんでした。
サイバーセキュリティの脅威からビジネスを守るためのSnowflakeからのヒント
Snowflake は、不正なユーザー アクセスの検出と防止に関する情報を公開しました。
同社は、脅威アクターが使用した約300件の不審なIPアドレスのリストを提供し、疑わしいIPアドレスからのアクセスを特定するためのクエリを公開しました。また、「rapeflake」および「DBeaver Ultimate」ツールの使用状況を特定するためのクエリも公開しました。これらのクエリから結果が返されるユーザーアカウントは、直ちに無効化する必要があります。
Snowflake ではセキュリティ強化を強く推奨しています。
- ユーザーに対して MFA を適用します。
- 高度な資格情報を持つユーザー/サービス アカウントに対して、アカウント レベルおよびユーザー レベルのネットワーク ポリシーを設定します。
- アカウント パラメータを確認して、Snowflake アカウントからのデータのエクスポートを制限します。
- Snowflake アカウントを監視して、不正な権限の昇格や構成の変更が行われていないか確認し、それらのイベントを調査します。
さらに、資格情報の漏洩につながる可能性のある一般的な脆弱性による侵害を回避するために、すべてのソフトウェアとオペレーティング システムを最新の状態にし、パッチを適用することを強くお勧めします。
インフォスティーラーの感染を防ぐには、すべてのエンドポイントにセキュリティ ソリューションを導入する必要があります。
また、コンピューター セキュリティに関する意識を高め、疑わしいサイバー セキュリティ イベントを検出して報告できるようにスタッフをトレーニングすることも推奨されます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
