One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8517377 |
| Date de publication | 2024-06-13 18:33:01 (vue: 2024-06-13 20:10:23) |
| Titre | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion |
| Texte | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | **microsoft *pws:win32/lumma* *pws:win32/risepro* *spyware:win32/redline* *trojan:msil/metastealer* *trojan:msil/raccoonstealer* *trojan:msil/redline* *trojan:win32/lumma* *trojan:win32/metastealer* *trojan:win32/raccoonstealer* *trojan:win32/redline* *trojan:win32/risepro* *trojan:win32/vidar* *trojan:win64/lumma* *trojan:win64/metastealer* *trojan:win64/raccoonstealer* *trojan:win64/redline* 165 2020 2024 2147059186 2147060400 2147063161 2147064758 2147065281 2147069186 2147070426 2147077417 2147078266 2147104481 2147119211 2147125956 2147134038 2147179871 2147198594 2147206652 2147235644 365 365/security/defender 365/security/office about access accessed accounts acquired against ago aiming all american anticipates antivirus app approximately apps april article attachments attacker attacks attempting attributed authentication authenticator auto based block blocks breached; breaches broader browser browsers campaign can card check click clicking cloud code com/azure/active com/blog/topics/threat com/deployedge/microsoft com/en com/intel com/microsoft company components compromise compromised computing–based configure continue cover coverage credential credentials customer customers cyber cybercriminal data database defender delete delivered deployment description detection detections/hunting detects devices different directory/authentication/concept directory/authentication/how directory/identity due early edge email emails employees enable enabled encourage encyclopedia endpoint** endpoint/configure endpoint/web enforce enhanced ensure enterprise equivalent even evidence evolving example excluded exfiltrate exploitation extort extortion extortion/ factor failure features fido filtering first following forums found from frostbite further google group guidance hardening has hello highlights host hour https://cloud https://learn https://security https://www identified identifies identity impact importance inbound incident including information infostealer infostealers instance instances intelligence intelligence/unc5537 intrusions investigation involves its keys lack later leading learndoc learning leveraged like links locations lucrative lumma machine mail majority malicious malware malware: managed management mandiant many match may me&threatid= measures metastealer methods mfa microsoft mitigations monitored msr&threatid= mtb&threatid= multi multiple name=pws:win32/lumma name=pws:win32/risepro name=pws:win32/vidar&threatid= name=ransom:win32/vidar&threatid= name=spyware:win32/redline&threatid=369640 name=trojan:msil/metastealer name=trojan:msil/raccoonstealer name=trojan:msil/redline name=trojan:win32/lumma name=trojan:win32/metastealer name=trojan:win32/raccoonstealer name=trojan:win32/redline&threatid= name=trojan:win32/risepro&threatid= name=trojan:win32/vidar name=trojan:win64/lumma name=trojan:win64/metastealer name=trojan:win64/raccoonstealer name=trojan:win64/redline&threatid= nature never new newly not notifications number obtain obtained ocid=magicti off office organizations other overview own password passwordless passwords paz personal phishing phones platforms policies policy polymorphic poor posed possible practices primarily private product profile profiles/2296d491ea381b532b24f2575f9418d4b6723c17b8a1f507d20c2140a75d16d6 profiles/33933578825488511c30b0728dd3c4f8b5ca20e41c285a56f796eb39f57531ad prompt protect protection protection/howto protections provided purge pws:win32/vidar pz&threatid= queries raccoon ransom:win32/vidar rapidly rather read recheck recommendations recommends reconnaissance records redline reduce refer references remind remove require requires response resulting revealed risepro risks robust rotated saas safe scam secured security security/defender security/safe security/zero sell sent servers settings should sight significant since sites smartscreen snapshot snowflake spam spoofed status steal stealer stealers stolen stored strictly succeeded success such support sync#sync syncing systematic systems targeting targets techniques theft thes |
| Tags | Spam Malware Tool Vulnerability Threat Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.