Snowflake客户遭遇攻击：安全问题备受关注

关键要点

Snowflake的客户实例正受到使用盗取凭证进行的攻击。Mandiant报告称，攻击针对客户账户，而非Snowflake服务本身。攻击者被标记为UNC5537，可能使用信息窃取恶意软件获取用户登录凭证。Mandiant建议Snowflake客户启用双重身份验证，以增强安全性。

日前，受困扰的IT服务提供商Snowflake的客户正在遭遇针对他们账户的攻击，这些攻击使用了被盗的登录凭证。谷歌旗下的安全公司Mandiant在6月10日披露，指出利用泄露的登录信息，攻击者正在对Snowflake云中的客户实例进行攻击。

Mandiant强调，目前这些攻击主要集中在客户账户上，而非Snowflake服务本身。Snowflake提供多种托管云和数据管理服务。

尽管Mandiant没有指明具体的网络犯罪团伙，但它将这些攻击归类为UNC5537。Mandiant指出：“我们将这一活动集群追踪为UNC5537，这是一个涉嫌从Snowflake客户环境中盗取大量记录的财务动机威胁行为者。”Mandiant表示。

“UNC5537正在系统性地利用盗取的客户凭证入侵Snowflake的客户实例，在网络犯罪论坛上兜售受害者数据，并试图勒索多家受害者。”

Mandiant团队并没有将此次攻击与最近报告的Snowflake被黑客团体 ShinyHunters攻击联系起来。黑客声称拥有数亿个凭证，然而，Snowflake坚持认为遭遇攻击的系统只是一个由前员工使用的测试环境。

由于这一攻击，Ticketmaster和Santander Bank向客户报告了数据泄露事件。UNC5537行动的起源可以追溯到至少2020年，Mandiant估计至少有165个组织面临攻击风险。

据悉，攻击者可能利用一种信息窃取恶意软件来盗取用户登录凭证，而被盗的账户则被用来访问受害者的Snowflake实例，进一步窃取数据，或在暗网出售，或进行勒索。

Mandiant建议Snowflake客户实施双重身份验证，指出所有观察到的泄露事件均发生在未启用该功能的客户上。