UNC5537

Snowflake-Kunden im Visier einer großen Cybercrime-Kampagne

Snowflake
Bildquelle: Michael Vi /Shutterstock.com

Mandiant veröffentlichte neue Forschungsergebnisse, die zeigen, dass ein finanziell motivierter Bedrohungsakteur, der als UNC5537 identifiziert wurde, Snowflake-Kunden ins Visier nimmt, indem er zuvor gestohlene Anmeldeinformationen – hauptsächlich über Infostealer-Malware – verwendet, um auf Kundendatenbanken zuzugreifen. 

Bislang hat Mandiant keine Beweise dafür gefunden, dass diese Aktivitäten durch einen Einbruch in die Unternehmensumgebung von Snowflake verursacht wurden. 

Anzeige

Im Rahmen dieser Kampagne setzt der Bedrohungsakteur Malware ein, die Mandiant als „FROSTBITE“ bezeichnet, um potenziell gefährdete Snowflake-Instanzen auszuspähen. Mandiant und Snowflake haben gemeinsam potenziell gefährdete Organisationen benachrichtigt und arbeiten mit den Strafverfolgungsbehörden zusammen, um diese laufende Kampagne zu untersuchen.

Charles Carmakal, CTO bei Mandiant Consulting

„Seit mindestens April 2024 hat UNC5537 gestohlene Anmeldeinformationen genutzt, um auf über 100 Snowflake-Kunden zuzugreifen. Der Bedrohungsakteur kompromittierte systematisch Kunden-Mandanten, lud Daten herunter, erpresste die Opfer und bot die Daten der Opfer in cyberkriminellen Foren zum Verkauf an. Die Kombination mehrerer Faktoren trug zu der gezielten Bedrohungskampagne bei. Dazu gehörten Snowflake-Kundenkonten, die ohne MFA (Multifaktor Authentication) konfiguriert waren, von Infostealer-Malware gestohlene Anmeldeinformationen (oft von Privatcomputern) und Tenants, die ohne Netzwerkzulassungslisten konfiguriert waren. Es ist wichtig, dass Unternehmen ihr Risiko durch von Instealern gestohlene Zugangsdaten richtig einordnen, da wir davon ausgehen, dass dieser Bedrohungsakteur und andere diese Kampagne auf andere SaaS-Lösungen übertragen werden.“

Weitere wichtige Highlights:

  • UNC5537 nutzt gestohlene Kundendaten, um Opfer zu erpressen, und versucht gleichzeitig, die Daten in cyberkriminellen Foren zu verkaufen. 
  • Das früheste beobachtete Infostealer-Infektionsdatum in Verbindung mit einer vom Bedrohungsakteur genutzten Anmeldeinformation stammt aus dem November 2020.
  • In einigen Fällen wurden zunächst Systeme von Auftragnehmern kompromittiert, die sowohl für berufliche als auch für private Aktivitäten genutzt wurden.
  • Mandiant und Snowflake raten ihren Kunden dringend, MFA zu aktivieren, Anmeldeinformationen zu rotieren und „Allow“-Listen im Netzwerk zu implementieren.

(pd/Mandiant)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.