مانديانت حذر عملاء ندفة الثلج لتعزيز لعبتهم عندما يتعلق الأمر بالنظافة الأساسية لبيانات الاعتماد، بعد الكشف عن أدلة تشير إلى أن أكثر من 160 عميلاً – بما في ذلك Santander وTicketmaster – قد تم اختراقهم في حملة مستهدفة من قبل جهة تهديد ذات دوافع مالية تتعقبها باسم UNC5537.
قال مانديانت إن UNC5537 كان مساومة بشكل منهجي ندفة الثلج حالات العملاء التي تستخدم بيانات اعتماد مسروقة، وتعرض بيانات مسروقة للبيع على منتديات الويب المظلمة، وتحاول ابتزاز العديد من الضحايا.
الدفاع عن ندفة الثلج – التي قالت سابقًا إنها غير قادرة على تحديد أي اختراق لبيئة مؤسستها الخاصة – قالت شركة Mandiant إنه في كل حالة تتبعتها، كان الحل الوسط نتيجة لضعف نظافة الأمن السيبراني لدى العميل الضحية.
“منذ أبريل 2024 على الأقل، استفادت UNC5537 من بيانات الاعتماد المسروقة للوصول إلى أكثر من 100 مستأجر من عملاء Snowflake. وقال تشارلز كارماكال، الرئيس التنفيذي للتكنولوجيا في شركة Mandiant Consulting، إن الجهة التهديدية قامت بشكل منهجي باختراق مستأجري العملاء، وتنزيل البيانات، وابتزاز الضحايا، والإعلان عن بيانات الضحايا للبيع في منتديات الجرائم الإلكترونية.
“ساهمت مجموعة من العوامل المتعددة في حملة التهديد المستهدفة بما في ذلك حسابات عملاء Snowflake التي تم تكوينها بدون MFA، وبيانات الاعتماد المسروقة بواسطة البرمجيات الخبيثة لسرقة المعلومات – غالبًا من أجهزة الكمبيوتر الشخصية – ويتم تكوين المستأجرين بدون قوائم السماح بالشبكة. ومن الأهمية بمكان أن تقوم المؤسسات بتقييم تعرضها لبيانات الاعتماد المسروقة من قبل سارقي المعلومات، حيث نتوقع أن يقوم ممثل التهديد هذا وآخرون بتكرار هذه الحملة عبر حلول SaaS الأخرى.
وقال مانديانت إن برامج سرقة المعلومات المستخدمة لسرقة بيانات اعتماد الضحايا تم توزيعها في حملات برامج ضارة مختلفة، يعود تاريخ بعضها إلى عام 2020. ومن بين البرامج الضارة المستخدمة Vidar وRisepro وRedline وRacoon Stealer وLumma وMetast.
كما أشارت إلى أن الحسابات المتأثرة لم يتم تمكين المصادقة متعددة العوامل – مما يجعل من السهل على الجهات التهديدية تسجيل الدخول، وفي كثير من الحالات، تعود بيانات الاعتماد المحددة إلى سنوات مضت، ولم يتم تدويرها أو تحديثها منذ تعرضها للخطر. ولم يضع العملاء المتأثرون قوائم السماح بالشبكة لتمكين الوصول إلا من المواقع الموثوقة.
ومما يثير القلق أنه في كثير من الحالات، كان سارقو المعلومات مصممين على الوصول إلى أنظمة كمبيوتر متعاقدة مع طرف ثالث والتي تم استخدامها أيضًا بصفة شخصية، بما في ذلك الألعاب وتنزيل البرامج أو المحتوى المقرصنة.
حذر مانديانت المؤسسات من أن تكون أكثر صرامة فيما يتعلق بالنظافة الصحية للمقاولين، حيث يستخدم الكثيرون أجهزة كمبيوتر شخصية أو غير خاضعة للمراقبة للوصول إلى أنظمة عملاء متعددين، غالبًا مع امتيازات إدارية مرتفعة، مما يزيد من تسهيل حملة UNC5537.
من هم UNC5537؟
تم التعرف على UNC5537 وتتبعه رسميًا بواسطة Mandiant فقط في الأسابيع القليلة الماضية – لذا فهو يظهر فقط في تصنيف Mandiant في الوقت الحالي.
بصفته جهة فاعلة تهديدية ذات دوافع مالية دون أي تحالف واضح مع أي دولة قومية، استهدف UNC5537 مئات المنظمات في جميع أنحاء العالم. يتمركز جميع أعضائها تقريبًا في أمريكا الشمالية، مع وجود أحد المتعاونين المعروفين في تركيا، وربما تكون لديهم ارتباطات بمجموعات أخرى.
إنهم يعملون تحت عدد من الأسماء المستعارة، وينسقون عبر قنوات Telegram ومنتديات الجرائم الإلكترونية، ويصلون في المقام الأول إلى حالات الضحايا باستخدام Mullvad أو الوصول إلى الإنترنت الخاص (PIA). شبكة خاصة افتراضية (VPN) عناوين IP. انتقلت البيانات المسروقة خوادم خاصة افتراضية (VPS) من Alexhost ومقرها مولدوفا، وتم تخزينها على أنظمة العديد من موفري VPS الآخرين، وموفر التخزين السحابي Mega.
وقال مانديانت إن حملة UNC5537 لم تكن جديدة أو متطورة بشكل خاص، وحقيقة أنها كان لها مثل هذا التأثير الواسع هي بشكل أكثر دقة نتيجة للاستخدام المتزايد لسرقة المعلومات، إلى جانب الفرص الضائعة من قبل الضحايا لتأمين أنفسهم.
