Mandiant hat neue Forschungsergebnisse veröffentlicht, nach denen ein finanziell motivierter Bedrohungsakteur, der als UNC5537 identifiziert wurde, Snowflake-Kunden ins Visier nimmt, indem er zuvor gestohlene Anmeldeinformationen – hauptsächlich über Infostealer-Malware – verwendet, um auf Kundendatenbanken zuzugreifen.
Bislang hat Mandiant jedoch keine Beweise dafür gefunden, dass diese Aktivitäten durch einen Einbruch in die Unternehmensumgebung von Snowflake verursacht wurden.
Im Rahmen dieser Kampagne setzt der Bedrohungsakteur Malware ein, die Mandiant als ’Frostbite’ bezeichnet, um potenziell gefährdete Snowflake-Instanzen auszuspähen. Mandiant und Snowflake haben gemeinsam potenziell gefährdete Organisationen benachrichtigt und arbeiten mit den Strafverfolgungsbehörden zusammen, um diese laufende Kampagne zu untersuchen.
UNC5537 nutzt gestohlene Kundendaten, um Opfer zu erpressen, und versucht gleichzeitig, die Daten in cyberkriminellen Foren zu verkaufen. In einigen Fällen wurden zunächst Systeme von Auftragnehmern kompromittiert, die sowohl für berufliche als auch für private Aktivitäten genutzt wurden.
„Seit mindestens April 2024 hat UNC5537 gestohlene Anmeldeinformationen genutzt, um auf über 100 Snowflake-Kunden zuzugreifen. Der Bedrohungsakteur kompromittierte systematisch Kunden-Mandanten, lud Daten herunter, erpresste die Opfer und bot die Daten der Opfer in cyberkriminellen Foren zum Verkauf an. Die Kombination mehrerer Faktoren trug zu der gezielten Bedrohungskampagne bei“, sagt Charles Carmakal, CTO bei Mandiant Consulting. „Dazu gehörten Snowflake-Kundenkonten, die ohne MFA (Multifaktor Authentication) konfiguriert waren, von Infostealer-Malware gestohlene Anmeldeinformationen (oft von Privatcomputern) und Tenants, die ohne Netzwerkzulassungslisten konfiguriert waren. Es ist wichtig, dass Unternehmen ihr Risiko durch von Instealern gestohlene Zugangsdaten richtig einordnen, da wir davon ausgehen, dass dieser Bedrohungsakteur und andere diese Kampagne auf andere SaaS-Lösungen übertragen werden.“
Mandiant und Snowflake raten ihren Kunden dringend, Multi-Faktor-Authentifizierung zu aktivieren, Anmeldeinformationen zu rotieren und ’Allow’-Listen im Netzwerk zu implementieren.
