内容摘要：谷歌旗下威胁情报公司Mandiant本周一发布报告称，多达165家知名组织成为云存储公司Snowflake黑客攻击事件的受害者，而且发生数据泄露的Snowflake客户的数量还在不断增长。云计算历史上

谷歌旗下威胁情报公司Mandiant本周一发布报告称，云存多达165家知名组织成为云存储公司Snowflake黑客攻击事件的储巨受害者
 ，而且发生数据泄露的头被Snowflake客户的数量还在不断增长 。

云计算历史上最严重的知名遭殃数据泄漏事件之一

截至本周一 ，Snowflake黑客攻击事件已经波及了包括票务巨头Ticketmaster 、企业桑坦德集团（Santander Group） 、云存汽车零配件巨头Advance Auto Parts等在内的储巨一大批知名企业  ，数以亿计的头被个人受到影响 。

Mandiant周一的知名遭殃调查结果显示 ，针对Snowflake客户的香港云服务器企业黑客攻击的“爆炸半径”还在不断扩大中 ，Mandiant正与Snowflake合作调查与其客户数据泄露有关的云存一系列漏洞 。

Mandiant表示，储巨一群黑客利用信息窃取恶意软件获取的头被凭据 ，对未启用多因素认证（MFA）的知名遭殃Snowflake账户和未对不受信任位置访问设置限制的Snowflake客户实例实施大规模攻击。黑客使用的企业某些凭据已有数年历史 。

Snowflake在周一的声明中表示
，正在“制定一项安全加固计划，要求客户实施多因素认证”。建站模板

攻击时间线

根据Mandiant的报告
，攻击者是其长期跟踪的专注于敲诈勒索的经济动机黑客组织UNC5537，成员主要来自北美
，但包括至少一名土耳其黑客
 。Mandiant称 
，针对Snowflake客户实例的黑客活动覆盖了全球数百家知名组织 ，其攻击路径如下 ：

根据Mandiant的报告 ，最早的证据显示 ，UNC5537对Snowflake实例的服务器租用攻击可以追溯到4月14日。五天后
，Mandiant开始调查从一个未知数据库中窃取的数据 。到5月14日 ，Mandiant确认了多个受影响的Snowflake客户实例，并且公司和Snowflake于5月22日通知了执法部门 。

5月24日 ，一名名为“whitewarlock”的用户在一个俄语网络犯罪论坛上发布了据称是来自桑坦德集团的3000万客户数据。Mandiant报告称，5月14日 ，“某些涉及智利、模板下载西班牙和乌拉圭桑坦德客户的信息，以及该集团所有在职和离职员工的信息被访问。”

票务巨头Ticketmaster的母公司Live NationEntertainment在向美国证券交易委员会（SEC）提交的文件中表示，5月20日，注意到第三方云数据库环境中的“未经授权的活动” 。

与此同时，数据泄露论坛（BreachForums）出现大量Snowflake客户的泄露数据销售帖子，包括Ticketmaster的5.6亿用户数据（于6月9日下线，源码下载原因尚不清楚
。）

甚至网络安全公司Cylance也称了Snowflake攻击的受害者，一个名为Sp1d3r的黑客正以75万美元的价格出售这些Cylance的被盗数据，据称包括3400万封客户和员工电子邮件以及Cylance客户、合作伙伴和员工的个人身份信息 。（Cylance本周一发布声明称这些数据是由第三方平台泄露的“旧数据”）

过去两年中，数据泄露论坛BreachForums曾两次被FBI和其他国际执法机构突击查封（最近一次是5月15日） ，但每次被查封后仅数日 ，亿华云该论坛便由高级职员或其他核心用户重新恢复上线。

信息窃取恶意软件泛滥

Mandiant的报告强调 ，信息窃取恶意软件的威胁正日益严峻 ，这种恶意软件能够从浏览器或受感染的网站收集凭据和其他数据。

信息窃取软件如今已经在互联网上泛滥，主要变种包括VIDAR
、RISEPRO、REDLINE、RACOONSTEALER、LUMMA和METASTEALER等，导致数以千万计的用户账户信息泄露。

信息窃取恶意软件会收集大量账户凭据后将其打包成“日志”出售 ，广泛用于各种网络犯罪活动。

Mandiant指出 ，信息窃取恶意软件有时会藏身在企业或个人设备上的木马化软件中。“在几起与Snowflake相关的调查中 ，Mandiant观察到，信息窃取恶意软件的初始感染发生在也用于个人活动（包括游戏和下载盗版软件）的承包商系统上
。”

更糟糕的是 ，“信息窃取恶意软件窃取的历史凭证仍然有效  ，在某些情况下  ，被盗多年后仍有效，并且没有被轮换或更新
。发动Snowflake攻击的黑客早在2020年就利用信息窃取恶意软件感染中窃取的客户凭证访问过Snowflake客户帐户。”