https://www.bleepingcomputer.com/news/security/coinbase-cyberattack-targeted-employees-with-fake-sms-alert/

كشفت منصة تبادل العملات المشفرة Coinbase أن جهة تهديد غير معروفة سرق بيانات اعتماد تسجيل الدخول لأحد موظفيها في محاولة للوصول عن بُعد إلى أنظمة الشركة.

وقالت الشركة إنه نتيجة للتطفل ، حصل المهاجم على بعض معلومات الاتصال الخاصة بالعديد من موظفي Coinbase ، مضيفة أن أموال العملاء وبياناتهم لم تتأثر.

منعت عناصر التحكم الإلكترونية في Coinbase المهاجم من الوصول المباشر إلى النظام ومنعت أي خسارة للأموال أو تعريض معلومات العميل للخطر. تم الكشف عن كمية محدودة فقط من البيانات من دليل الشركة لدينا -كوين بيز

شاركت Coinbase نتائج تحقيقاتها لمساعدة الشركات الأخرى على تحديد تكتيكات وتقنيات وإجراءات الجهات الفاعلة المهددة (TTPs) وإعداد الدفاعات المناسبة.

تفاصيل الهجوم

استهدف المهاجم العديد من مهندسي Coinbase يوم الأحد 5 فبراير بتنبيهات عبر الرسائل القصيرة تحثهم على تسجيل الدخول إلى حسابات شركتهم لقراءة رسالة مهمة.

بينما تجاهل معظم الموظفين الرسائل ، وقع أحدهم في الحيلة واتبع الرابط المؤدي إلى صفحة تصيد. بعد إدخال أوراق اعتمادهم ، تم شكرهم وحثهم على تجاهل الرسالة.

في المرحلة التالية ، حاول المهاجم تسجيل الدخول إلى أنظمة Coinbase الداخلية باستخدام بيانات الاعتماد المسروقة لكنه فشل لأن الوصول كان محميًا بمصادقة متعددة العوامل (MFA).

بعد حوالي 20 دقيقة ، انتقل المهاجم إلى استراتيجية أخرى. اتصلوا بالموظف الذي يدعي أنه من فريق Coinbase IT ووجهوا الضحية لتسجيل الدخول إلى محطة العمل الخاصة بهم واتباع بعض التعليمات.

& quot؛ لحسن الحظ لم يتم أخذ أي أموال ولم يتم الوصول إلى أي معلومات عن العملاء أو عرضها ، ولكن تم أخذ بعض معلومات الاتصال المحدودة لموظفينا ، وتحديدًا أسماء الموظفين وعناوين البريد الإلكتروني وبعض أرقام الهواتف & quot؛ -كوين بيز

اكتشف Coinbase & # x27؛ s CSIRT نشاطًا غير عادي في غضون 10 دقائق منذ بدء الهجوم واتصل بالضحية للاستعلام عن الأنشطة الأخيرة غير المعتادة من حسابه. أدرك الموظف بعد ذلك وجود خطأ ما وقام بإنهاء الاتصالات مع المهاجم.

الدفاع

شاركت Coinbase بعضًا من TTPs التي تمت ملاحظتها والتي يمكن لشركات أخرى استخدامها لتحديد هجوم مماثل والدفاع ضده:

• أي حركة مرور على الويب من أصول تقنية الشركة إلى عناوين محددة ، بما في ذلك sso-.com و -sso.com و login.-sso.com و dashboard-.com و * -dashboard.com.
• أي تنزيلات أو محاولات تنزيل لعارضات محددة لسطح المكتب البعيد ، بما في ذلك AnyDesk (anydesk dot com) و ISL Online (islonline [.] com)
• أي محاولات للوصول إلى المؤسسة من مزود VPN تابع لجهة خارجية ، وتحديداً Mullvad VPN
• المكالمات الهاتفية / الرسائل النصية الواردة من مزودين محددين ، بما في ذلك Google Voice و Skype و Vonage / Nexmo والنطاق الترددي
• أي محاولات غير متوقعة لتثبيت ملحقات متصفح معينة ، بما في ذلكتحرير هذا ملف تعريف الارتباط

ويل توماس من مركز تحليل التهديدات Equinix (ETAC)وجد بعض النطاقات الإضافية ذات السمات Coinbase التي تطابق وصف الشركة ، والتي ربما تم استخدامها في الهجوم:

• sso-cbhq [.] com
• sso-cb [.] com
• coinbase [.] sso-cloud [.] com

وتجدر الإشارة إلى أن طريقة عمل المهاجم مشابهة لما لوحظ خلالمبعثر الخنازير / حملات التصيد 0ktapus في العام الماضي ، تعتقد Coinbase أن نفس الفاعل المسؤول عن التهديد هو المسؤول عن الهجوم.

وفقًا لشركة Group-IB للأمن السيبراني ، سرق ممثل التهديد ما يقرب من 1000 تسجيل دخول للشركات عن طريق إرسال روابط تصيد عبر الرسائل القصيرة إلى موظفي الشركة.

لا بد أن يتم استهداف موظفي الشركات التي تدير الأصول الرقمية والتي تتمتع بحضور قوي عبر الإنترنت من قبل الجهات الفاعلة في الهندسة الاجتماعية في مرحلة ما.

يمكن أن يؤدي اعتماد دفاع متعدد الطبقات إلى جعل الهجوم يمثل تحديًا كافيًا لاستسلام معظم الجهات الفاعلة في التهديد. يمكن أن يساعد تنفيذ حماية MFA واستخدام رموز الأمان المادي في حماية حسابات العملاء والشركات.