링크세상 링크모음
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

해커는 수백 명의 Snowflake 고객으로부터 “상당한 양”의 데이터를 훔칩니다.

게티 이미지

클라우드 스토리지 제공업체인 스노우플레이크(Snowflake)의 고객 중 최대 165명이 정보를 훔치는 악성 코드를 통해 로그인 자격 증명을 획득한 그룹에 의해 피해를 입었다고 연구원들이 월요일 밝혔습니다.

금요일에 Lending Tree 자회사인 QuoteWizard는 Snowflake로부터 이 사건으로 영향을 받았다고 통보받은 고객 중 하나임을 확인했습니다. Lending Tree 대변인 Megan Greuling은 회사가 Snowflake에 저장된 데이터가 도난되었는지 여부를 확인하는 과정에 있다고 말했습니다.

그녀는 이메일에 “조사가 진행 중”이라고 썼다. “현재로서는 소비자 금융 계좌 정보나 모기업인 Lending Tree의 정보가 영향을 받은 것으로 보이지 않습니다.”

이번 대규모 해킹 사건을 조사하기 위해 고용된 구글 소유의 보안 회사인 스노우플레이크(Snowflake)의 연구원들은 월요일 회사들이 연속적으로 데이터를 도난당했을 가능성이 있는 고객 165명을 식별했다고 밝혔습니다. Live Nation은 10일 전에 Snowflake에 저장된 TicketMaster 그룹의 데이터가 5억 6천만 명의 Ticketmaster 고객에 대한 전체 이름, 주소, 전화번호 및 부분 신용 카드 번호를 판매한다는 게시물을 게시한 후 도난당했음을 확인했습니다.

스페인 최대 은행인 산탄데르(Santander)는 최근 일부 고객의 데이터도 도난당했다고 밝혔습니다. Ticketmaster 데이터를 광고하는 동일한 그룹이 Santander 데이터 판매를 제안했습니다. 보안 회사인 허드슨 록(Hudson Rock)의 연구원들은 훔친 데이터가 스노우플레이크(Snowflake)에도 저장되어 있다고 말했습니다. 산탄데르는 이 주장을 확인도 부정도 하지 않았습니다.

Mandiant의 월요일 게시물에 따르면 지금까지 추적한 모든 침해는 Infostealer 악성 코드에 의해 Snowflake 계정의 로그인 자격 증명이 도난당하고 때로는 한 번에 몇 년 동안 방대한 로그에 저장된 결과였습니다. 영향을 받은 계정 중 사용자가 일회용 비밀번호나 비밀번호 외에 추가 인증 수단을 제공해야 하는 다단계 인증을 사용하는 계정은 없었습니다.

공격을 수행하는 그룹은 재정적 동기를 갖고 있으며 구성원은 주로 북미에 있습니다. Mandiant는 이를 UNC5537로 추적하고 있습니다. 회사 연구원들은 다음과 같이 썼습니다.

현재까지의 조사에 따르면 UNC5537은 훔친 고객 자격 증명을 통해 여러 조직의 Snowflake 고객 인스턴스에 대한 액세스 권한을 얻었습니다. 이러한 자격 증명은 주로 Snowflake 소유가 아닌 시스템을 감염시킨 여러 Infostealer 악성 코드 캠페인에서 얻은 것입니다. 이를 통해 위협 행위자는 영향을 받은 고객 계정에 액세스할 수 있었고 해당 Snowflake 고객 인스턴스에서 상당한 양의 고객 데이터를 내보낼 수 있었습니다. 이후 공격자는 많은 피해자를 직접 강탈하기 시작했으며, 훔친 고객 데이터를 공인된 사이버 범죄 포럼에서 적극적으로 판매하려고 시도하고 있습니다.

Mandiant는 UNC5537에서 사용된 자격 증명의 대부분이 과거의 Infostealer 감염에서 사용 가능했으며 그 중 일부는 2020년까지 거슬러 올라간다는 사실을 확인했습니다.

UNC5537이 수행한 위협 캠페인은 다음 세 가지 주요 요인으로 인해 수많은 성공적인 손상을 가져왔습니다.

  1. 영향을 받은 계정은 다단계 인증이 활성화된 상태로 구성되지 않았습니다. 즉, 성공적인 인증에는 유효한 사용자 이름과 비밀번호만 필요했습니다.
  2. Infostealer 맬웨어 출력에서 ​​식별된 자격 증명은 도난당한 지 몇 년이 지난 후에도 여전히 유효했으며 교체되거나 업데이트되지 않았습니다.
  3. 영향을 받은 Snowflake 고객 인스턴스에는 신뢰할 수 있는 위치에서만 액세스를 허용하는 네트워크 허용 목록이 없었습니다.
공격 경로 UNC5537은 무려 165개 Snowflake 고객을 대상으로 한 공격에 사용되었습니다.
크게 하다 / 공격 경로 UNC5537은 무려 165개 Snowflake 고객을 대상으로 한 공격에 사용되었습니다.

맨디언트

영향을 받는 Snowflake 계정에 대한 초기 액세스는 각각 웹 기반 사용자 인터페이스와 명령줄 인터페이스인 회사의 기본 SnowSight 또는 SnowSQL을 사용하여 발생하는 경우가 많습니다. 또한 위협 행위자들은 로그에 “rapeflake”로 표시되고 Mandiant가 FrostBite로 추적하는 맞춤형 유틸리티를 사용했습니다.