Coinbase 加密货币交易平台披露,一名未知的威胁行为者窃取了其一名员工的登录凭据,试图远程访问公司的系统。
该公司表示,由于入侵,攻击者获得了属于多个 Coinbase 员工的一些联系信息,并补充说客户资金和数据未受影响。
Coinbase 的网络控制阻止了攻击者直接访问系统,并防止了任何资金损失或客户信息泄露。 我们公司目录中只有有限数量的数据被暴露 - Coinbase
Coinbase 分享了他们的调查结果,以帮助其他公司识别威胁行为者的策略、技术和程序 (TTP) 并建立适当的防御措施。
攻击详情
攻击者于 2 月 5 日星期日针对几位 Coinbase 工程师发送了 SMS 警报,敦促他们登录公司帐户以阅读重要消息。
虽然大多数员工都忽略了这些消息,但其中一名员工上当受骗,点击链接进入钓鱼页面。 输入凭据后,系统会向他们表示感谢并提示他们忽略该消息。
在下一阶段,攻击者尝试使用窃取的凭据登录 Coinbase 的内部系统,但由于访问受多因素身份验证 (MFA) 保护而失败。
大约 20 分钟后,攻击者转向另一种策略。 他们打电话给自称来自 Coinbase IT 团队的员工,并指示受害者登录他们的工作站并按照一些说明进行操作。
“幸运的是,没有资金被盗用,也没有客户信息被访问或查看,但我们员工的一些有限联系信息被盗用,特别是员工姓名、电子邮件地址和一些电话号码”- Coinbase
Coinbase 的 CSIRT 在攻击开始后的 10 分钟内检测到异常活动,并联系了受害者,询问他们账户最近的异常活动。 该员工随后意识到出了点问题,并终止了与攻击者的通信。
防守
Coinbase 分享了一些观察到的 TTP,其他公司可以使用这些 TTP 来识别类似的攻击并进行防御:
- 从公司技术资产到特定地址的任何网络流量,包括 sso-.com、-sso.com、login.-sso.com、dashboard-.com 和 *-dashboard.com。
- 任何特定远程桌面查看器的下载或尝试下载,包括 AnyDesk (anydesk dot com) 和 ISL Online (islonline[.]com)
- 任何尝试从第三方 VPN 提供商访问组织的行为,特别是 Mullvad VPN
- 来自特定提供商的来电/短信,包括 Google 语音、Skype、Vonage/Nexmo 和带宽
- 任何意外安装特定浏览器扩展程序的尝试,包括 EditThisCookie
Equinix 威胁分析中心 (ETAC) 的 Will Thomas 发现了一些与公司描述相符的其他 Coinbase 主题域,这些域可能在攻击中使用:
- sso-cbhq[.]com
- sso-cb[.]com
- coinbase[.]sso-cloud[.]com
值得注意的是,攻击者的作案手法与去年在 Scatter Swine/0ktapus 网络钓鱼活动中观察到的相似。
据网络安全公司 Group-IB 称,威胁行为者通过 SMS 向公司员工发送网络钓鱼链接,窃取了近 1,000 个公司访问登录信息。
.png "Coinbase 网络攻击针对员工发送虚假短信警报")
来源:Group-IB
采用多层防御可以使攻击具有足够的挑战性,让大多数威胁参与者放弃。 实施 MFA 保护和使用物理安全令牌有助于保护消费者和公司帐户。
如若转载,请注明出处:https://www.ozabc.com/it/534850.html