BlackBerry Cylance のデータがダークウェブで販売されている:Snowflake 侵害との関連性は?

Cylance confirms data breach linked to ‘third-party’ platform

2024/06/10 BleepingComputer — サイバーセキュリティ企業 Cylance は、ハッキング・フォーラムで販売されているデータの正当性を認めた上で、サードパーティのプラットフォームから盗まれた古いデータだと述べている。Sp1d3r と呼ばれる脅威アクターが、盗み出されたデータを $750,000 で販売しているのを、最初に見つけたのは Dark Web Informer である。このデータには、顧客/従業員の電子メール 34,000,000件、および、Cylance のユーザー/パートナー/従業員たちを特定できる情報などの、相当量の情報が含まれているようだ。


その一方で研究者たちは、流出したサンプルは、Cylance が使用していた古いマーケティングデータのようだと、BleepingComputer に対して述べている。

BlackBerry Cylance は、「脅威アクターの主張を認識して調査しているが、顧客/製品/業務に関連する BlackBerry のデータ/システムは侵害されていない。問題のデータのレビューを開始したところだが、現時点で Cylance の顧客は影響を受けておらず、機密情報とは関連しない。問題のデータは、BlackBerry とは無関係なサードパーティのプラットフォームからアクセスされたものであり、BlackBerry が Cylance を買収する以前の、2015年〜2018年のものと思われる」と述べている。

Cylance data for sale
Cylance data for sale (Dark Web Informer)
Snowflake 攻撃との関連性

盗まれたデータについて、同社は古いものだと主張しているが、それを盗むために侵入されたサードパーティ・プラットフォームの名前については、現時点で明らかにされていない。

その一方で、Sp1d3r という脅威アクターは、同社の Snowflake アカウントを侵害した後に、自動車アフター・マーケット・パーツ業の Advance Auto Parts から盗んだ、3TB のデータも販売している。

Cylance が Snowflake の顧客であり、その Web 管理コンソールが “https://cylance.snowflakecomputing.com/” であることを、BleepingComputer は確認している。

最近になって発生している、Santander/Ticketmaster/QuoteWizard/Lendingtree における侵害も、Snowflake への攻撃と関連している。Ticketmaster の親会社である Live Nation も、5月20日に Snowflake のアカウントが侵害された後に影響が生じたと認めている。

CrowdStrike と Mandiant との共同アドバイザリーによると、この攻撃者は、盗まれた顧客認証情報を使用して、多要素認証保護がないアカウントを狙ったと、Snowflake は述べているようだ。

今日になって Mandiant が発表したのは、同社が UNC5537 として追跡している経済犯と、Snowflake への攻撃を関連付けるレポートだ。この脅威アクターは、2020年ころから発生している、インフォ・スティーラー・マルウェアによる侵害で窃取された顧客認証情報を悪用して、Snowflake の顧客アカウントにアクセスしていたという。

Mandiant は、2024年5月から UNC5537 を追跡している。この金銭的な動機に基づく脅威アクターは、世界中の数百もの組織を標的にして、金銭的な利益のために被害者たちを恐喝している。

UNC5537 attack timeline
UNC5537 Snowflake attack timeline (Mandiant)


UNC5537 について、Mandiant は詳細な情報を共有していないが、この脅威アクターは、Web サイト/Telegram/Discord サーバに頻繁に出入りして、共同で攻撃を行う大きな犯罪コミュニティの一部であることを、BleepingComputer は確認している。

Mandiant は、「影響を受けたアカウントでは、多要素認証が有効化されておらず、認証に必要なのは有効なユーザー名/パスワードのみだった。

インフォ・スティーラーにより窃取された認証情報は、数年が経過しても有効なケースもあり、ローテーションやアップデートは行われていなかった。また、影響を受けた Snowflake 顧客のインスタンスには、信頼できる場所からのアクセスだけを許可する、ネットワーク許可リストが存在しなかった。

Mandiant によると、遅くとも 2020年以降において、Vidar/RisePro/Redline/Racoon Stealer/Lumm/Metastealer などのマルウェア攻撃で暴露された数百の顧客の、Snowflake 認証情報を確認しているという。

現時点において、Snowflake と Mandiant は、これらの継続的な攻撃に遭遇する可能性のある約 165の組織に対して、通知を行っているという。

Cylance は明言していないようですが、Snowflake 侵害と関連していそうな感じです。なお、Cylance について調べてみたところ、Wikipedia に「Cylance は、カリフォルニアに拠点を置く米国のソフトウェア会社である。ウイルスやマルウェアを防ぐウイルス対策プログラムなどのソフトウェアを開発している。2019年2月に同社は、BlackBerry Limited に買収された。ただし、買収後も独立した子会社として運営され、本社はカリフォルニアに残っている」と紹介されていました。