前情回顾·AI网络威胁态势
安全内参4月10日消息,由于一家SaaS集成服务提供商遭到入侵,身份验证令牌被窃,导致超过12家公司的数据被盗。
黑客利用被窃取的令牌,对大量云存储和SaaS供应商发起攻击。外媒BleepingComputer获悉,大多数数据窃取事件针对的是云数据平台Snowflake。
Snowflake向BleepingComputer确认,系统中出现了“异常活动”,并表示仅有少量客户受到影响。
Snowflake表示:“我们近期在少量与特定第三方集成相关的Snowflake客户账号中检测到异常活动。我们已第一时间启动调查,并出于高度谨慎锁定了可能受影响的账号。同时,我们已通知相关客户,并提供预防性指导,帮助其进一步加强账号安全。”
Snowflake强调,这些攻击并未利用其系统中的任何漏洞,也未攻破任何系统。
在此次攻击过程中,威胁行为者曾尝试利用被窃取的身份验证令牌,从Salesforce窃取数据,但在成功之前即被检测并阻止。
数据窃取与AI提效公司Anodot被入侵有关
起初,Snowflake并未确认涉及此次攻击的第三方集成合作伙伴,但后来官方证实了多方传闻的信息,即这些攻击源于数据异常检测公司Anodot的一起安全事件。
Anodot是一家基于AI的业务分析提效公司,提供实时异常检测服务,主要用于业务与运营数据分析。其通过机器学习帮助企业自动识别收入、交易及系统性能中的异常变化。该公司已于2025年11月被数据分析公司Glassbox收购。
自上周六早晨起,Anodot状态页面显示,其所有连接器在各个地理区域均出现中断,其中包括Snowflake、S3和Amazon Kinesis。
周一的状态更新指出:“我们在数据采集,以及异常类型告警的检测与分发方面遇到了问题。”
图:Anodot状态页面
多家企业遭到数据勒索威胁
BleepingComputer获悉,目前已有多家公司遭到ShinyHunters勒索组织敲诈。该组织要求支付赎金,以防止被窃数据被公开。
该组织向BleepingComputer确认,其正是此次攻击的幕后黑手,并声称于上周五利用来自Anodot的身份验证令牌,从数十家公司窃取了数据。
威胁行为者还暗示,他们可能已经在Anodot系统中潜伏了一段时间。
他们同时确认,曾尝试从Salesforce窃取数据,但被AI检测机制拦截。这一失败的尝试,正值过去一年针对Salesforce客户的数据窃取攻击频发之际。
威胁行为者还分享了一些据称受影响的公司名单,但在未获得确认之前,BleepingComputer未予公布。
目前仅有一家公司Payoneer回应了相关询问。该公司表示,已知晓该集成商遭入侵事件,但自身未受到影响。
Payoneer在向BleepingComputer提供的声明中表示:“我们已注意到涉及第三方服务提供商Anodot的安全事件。经内部审查确认,Payoneer未受到影响。”
谷歌威胁情报小组一直在跟踪今年多起数据窃取活动,并确认已关注此事件并持续跟进,但暂未披露更多细节。
BleepingComputer已向Anodot及其母公司Glassbox发送多封邮件,寻求进一步回应。
参考资料:https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
