威胁行为者刚刚完成了 2024 年最大的数据泄露事件之一，他们甚至不必入侵公司的环境。他们的目标是什么？从云存储系统中窃取数据并勒索受害者以获取经济利益。

针对 Snowflake 客户的活动并不是新颖或复杂的策略、技术或程序 （TTP） 的结果。相反，该活动背后的威胁行为者购买或发现已经可用的暴露的合法凭据，并使用它们登录。对于没有多重身份验证 （MFA） 的帐户，仅此而已。正在进行的 Snowflake 活动为凭证管理提供了另一个引人注目的用例，并警告了信息窃取者和被盗凭据的危险。

2024 年 5 月下旬，一个被追踪为 UNC5537 的出于经济动机的威胁行为者开始在网络犯罪论坛上宣传出售 Ticketmaster 和 Santander 的数据，声称他们已经破坏了云数据仓库平台 Snowflake。

Snowflake 和 Mandiant 的分析发现，使用被盗的客户凭据破坏了个人客户帐户。根据 Mandiant 的说法，威胁行为者可能已经能够使用这些暴露的凭据访问大约 165 家公司的帐户。

关键要点

几个关键要点：

受影响的帐户未配置 MFA。成功的身份验证只需要有效的用户名和密码，这使威胁参与者可以轻松访问目标帐户。

文章原文链接:https://www.anquanke.com/post/id/297996