Cylance

サイバーセキュリティ企業Cylanceは、ハッキングフォーラムで販売されているデータの正当性を確認し、それは “サードパーティのプラットフォーム “から盗まれた古いデータであると述べた。

Sp1d3rとして知られる脅威行為者は、Dark Web Informerが最初に発見したように、この盗まれたデータを75万ドルで販売している。

このデータには、34,000,000件の顧客や従業員の電子メール、サイランスの顧客、パートナー、従業員の個人識別情報など、相当量の情報が含まれているとされている。

しかし、研究者は、流出したサンプルはサイランス社が使用していた古いマーケティングデータのようだと話している。

BlackBerry Cylanceは、脅威行為者の主張を認識し調査しているが、”顧客、製品、業務に関連するBlackBerryのデータやシステムは侵害されていない “と述べた。

“問題のデータの最初のレビューに基づいて、現在のサイランスの顧客は影響を受けておらず、機密情報は関与していない “と同社は付け加えた。

“問題のデータはBlackBerryとは無関係のサードパーティのプラットフォームからアクセスされたもので、BlackBerryがCylance製品ポートフォリオを買収する以前の2015年から2018年のものと思われる。”

Cylance data for sale
サイランスのデータが売りに出されている(Dark Web Informer)

Snowflake攻撃へのリンク

同社は、古いデータと主張するものを盗むために侵入されたサードパーティのプラットフォームの名前に関する詳細のフォローアップ要求にはまだ回答していないが、同じ脅威行為者は、同社のSnowflakeアカウントを侵害した後に盗まれた自動車アフターマーケットパーツプロバイダーAdvance Auto Partsの3TBのデータも販売している。

は、https://cylance.snowflakecomputing.com/にあるSnowflakeウェブ管理コンソールへのリンクを発見した。このコンソールはCylanceにリンクしているようだ。しかし、BlackBerryの広報担当者は、このダッシュボードは「古くて無効」であり、「BlackBerry CylanceはSnowflakeの顧客ではない」と述べた。

SantanderTicketmasterQuoteWizard/Lendingtreeでの最近の侵害もSnowflake攻撃に関連している。Ticketmasterの親会社であるLive Nationも、5月20日にSnowflakeのアカウントが侵害された後、データ侵害がチケット販売会社に影響を与えたことを確認した。

CrowdStrikeとMandiantとの共同アドバイザリーで、Snowflakeは、攻撃者が盗まれた顧客認証情報を使用して、多要素認証保護がないアカウントを狙ったと述べた。

本日、Mandiantは、Snowflakeの攻撃と、同社がUNC5537として追跡している金銭的動機のある脅威行為者とを関連付けるレポートを発表した。この脅威者は、2020年までさかのぼる情報窃取マルウェア感染で窃取された顧客認証情報を使用して、Snowflakeの顧客アカウントにアクセスしました。

Mandiantは2024年5月からUNC5537を追跡しています。この金銭的な動機に基づく脅威行為者は、世界中の数百もの組織を標的にし、金銭的な利益を得るために被害者を恐喝しています。

UNC5537 attack timeline
UNC5537 Snowflake攻撃のタイムライン(Mandiant)

Mandiantは、UNC5537について多くの情報を共有していませんが、彼らは同じウェブサイト、Telegram、Discordサーバーに頻繁に出入りする脅威行為者の大きなコミュニティの一部であり、そこで一般的に共同で攻撃を行っていることを知りました。

「影響を受けたアカウントは多要素認証が有効に設定されておらず、認証に必要なのは有効なユーザー名とパスワードのみでした。

「Infostealerマルウェアの出力で確認された認証情報は、盗まれた後、場合によっては数年経っても有効であり、ローテーションやアップデートが行われていませんでした。影響を受けたSnowflakeの顧客インスタンスには、信頼できる場所からのアクセスのみを許可するネットワーク許可リストがありませんでした。

Mandiant社によると、少なくとも2020年以降、Vidar、RisePro、Redline、Racoon Stealer、Lumm、Metastealerの各マルウェア攻撃で暴露された数百の顧客のSnowflake認証情報を確認しているという。

現在までに、SnowflakeとMandiantは、これらの継続的な攻撃にさらされる可能性のある約165の組織に通知しています。

更新 6月11日07時13分(日本時間:CylanceはSnowflakeの顧客ではないというBlackBerryの声明を追加しました。