クラウド・ストレージ・システムとサービスの大手プロバイダーであるピュア・ストレージは月曜日、攻撃者が同社のSnowflakeワークスペースに侵入し、同社がテレメトリ情報と説明する情報にアクセスしたことを確認した。
暴露された情報には、顧客名、ユーザー名、電子メールアドレスも含まれていたが、アレイへのアクセスや顧客システムに保存されているその他のデータの認証情報は含まれていなかった。
「徹底的な調査の結果、ピュア・ストレージは、単一のSnowflakeデータ分析ワークスペースに一時的に不正アクセスした第三者を含むセキュリティ・インシデントを確認し、対処しました。
「このワークスペースには、ピュアがプロアクティブなカスタマーサポートサービスを提供するために使用している遠隔測定情報が含まれていました。この情報には、企業名、LDAPユーザー名、電子メールアドレス、Purityソフトウェアのリリースバージョン番号が含まれています。
ピュアは、Snowflakeワークスペースへの不正アクセスを防止するための対策を講じましたが、顧客インフラの他の部分で悪意のある行為が行われた形跡はまだ見つかっていません。
「現在、同様にPureシステムを標的とした異常な活動を検知していない顧客と連絡を取っている」と同社は付け加えた。
ピュア・ストレージのデータ・ストレージ・プラットフォームは、メタ、フォード、JPモルガン、NASA、NTT、オートネーション、エクイニクス、コムキャストなどの有名企業や組織を含む11,000社以上の顧客に利用されている。
少なくとも165の組織がSnowflake攻撃の影響を受けた模様
MandiantおよびCrowdStrikeとの共同アドバイザリーで、Snowflakeは、攻撃者が盗んだ顧客認証情報を使用して、多要素認証保護がないアカウントを標的にしていることを明らかにした。
Mandiantはまた、Snowflake攻撃と、2024年5月以来UNC5537として追跡されている金銭的動機に基づく脅威行為者とを関連付けました。
この悪意ある行為者は、2020年までさかのぼる過去の情報窃取マルウェア感染で窃取された顧客認証情報を使用してSnowflakeの顧客アカウントにアクセスし、世界中の数百の組織を標的として、金銭的な利益のために被害者を恐喝しています。
「影響を受けたアカウントは多要素認証が有効に設定されておらず、認証に必要なのは有効なユーザー名とパスワードのみでした。
「Infostealerマルウェアの出力で確認された認証情報は、場合によっては盗まれてから何年も経過した今でも有効であり、ローテーションやアップデートが行われていませんでした。影響を受けたSnowflakeの顧客インスタンスには、信頼できる場所からのアクセスのみを許可するネットワーク許可リストがありませんでした。
これまでのところ、サイバーセキュリティ企業は、Vidar、RisePro、Redline、Racoon Stealer、Lumm、およびMetastealer infostealerマルウェア攻撃で暴露された数百の顧客Snowflake認証情報を確認している。
SnowflakeとMandiantはすでに、これらの進行中の攻撃にさらされる可能性のある約165の組織に通知している。
MandiantはUNC5537について多くの情報を開示していないが、彼らは同じウェブサイト、Telegram、Discordサーバーを頻繁に訪問し、定期的に攻撃について共同作業を行っている脅威行為者の大きなコミュニティの一部であることがわかった。
サンタンデール銀行、チケットマスター社、QuoteWizard/LendingTree社で最近発生した侵入事件も、こうした継続的なスノーフレーク攻撃に関連している。Ticketmasterの親会社であるLive Nationは、5月20日に同社のSnowflakeアカウントが侵害された後、データ侵害がチケット販売会社に影響を与えたことを確認した。
ある脅威者は現在、自動車アフターマーケットパーツプロバイダーのAdvance Auto Partsから、同社のSnowflakeアカウントが侵害された後に盗まれた3億8,000万件の顧客プロファイルと4,400万件のロイヤルティ/ガスカード番号(顧客詳細付き)を含むとされる3TBのデータを販売している。
Comments