https://www.bleepingcomputer.com/news/security/coinbase-cyberattack-targeted-employees-with-fake-sms-alert/

Platform pertukaran cryptocurrency Coinbase telah mengungkapkan bahwa aktor ancaman yang tidak dikenal mencuri kredensial masuk salah satu karyawannya dalam upaya untuk mendapatkan akses jarak jauh ke sistem perusahaan.

Sebagai akibat dari gangguan tersebut, penyerang memperoleh beberapa informasi kontak milik beberapa karyawan Coinbase, kata perusahaan tersebut, menambahkan bahwa dana dan data pelanggan tetap tidak terpengaruh.

Kontrol dunia maya Coinbase mencegah penyerang mendapatkan akses sistem langsung dan mencegah hilangnya dana atau kompromi informasi pelanggan. Hanya sejumlah kecil data dari direktori perusahaan kami yang terungkap -Coinbase

Coinbase telah membagikan temuan penyelidikan mereka untuk membantu perusahaan lain mengidentifikasi taktik, teknik, dan prosedur (TTP) aktor ancaman dan menyiapkan pertahanan yang sesuai.

Detail serangan

Penyerang menargetkan beberapa insinyur Coinbase pada hari Minggu, 5 Februari dengan peringatan SMS mendesak mereka untuk masuk ke akun perusahaan mereka untuk membaca pesan penting.

Sementara sebagian besar karyawan mengabaikan pesan tersebut, salah satu dari mereka tertipu dan mengikuti tautan ke halaman phishing. Setelah memasukkan kredensial mereka, mereka berterima kasih dan diminta untuk mengabaikan pesan tersebut.

Pada fase berikutnya, penyerang mencoba masuk ke sistem internal Coinbase menggunakan kredensial yang dicuri tetapi gagal karena akses dilindungi dengan autentikasi multi-faktor (MFA).

Kira-kira 20 menit kemudian, penyerang beralih ke strategi lain. Mereka memanggil karyawan yang mengaku dari tim IT Coinbase dan mengarahkan korban untuk login ke workstation mereka dan mengikuti beberapa petunjuk.

"Untungnya tidak ada dana yang diambil dan tidak ada informasi pelanggan yang diakses atau dilihat, tetapi beberapa informasi kontak terbatas untuk karyawan kami diambil, khususnya nama karyawan, alamat email, dan beberapa nomor telepon" -Coinbase

CSIRT Coinbase mendeteksi aktivitas yang tidak biasa dalam waktu 10 menit sejak dimulainya serangan dan menghubungi korban untuk menanyakan tentang aktivitas terbaru yang tidak biasa dari akun mereka. Karyawan tersebut kemudian menyadari ada yang tidak beres dan memutuskan komunikasi dengan penyerang.

Membela

Coinbase telah membagikan beberapa TTP yang diamati yang dapat digunakan perusahaan lain untuk mengidentifikasi serangan serupa dan mempertahankannya:

• Setiap lalu lintas web dari aset teknologi perusahaan ke alamat tertentu, termasuk sso-.com, -sso.com, login.-sso.com, dashboard-.com, dan *-dashboard.com.
• Semua unduhan atau percobaan unduhan penampil desktop jarak jauh tertentu, termasuk AnyDesk (anydesk dot com) dan ISL Online (islonline[.]com)
• Upaya apa pun untuk mengakses organisasi dari penyedia VPN pihak ketiga, khususnya VPN Mullvad
• Panggilan telepon/pesan teks masuk dari penyedia tertentu, termasuk Google Voice, Skype, Vonage/Nexmo, dan Bandwidth
• Setiap upaya tak terduga untuk memasang ekstensi browser tertentu, termasukEdit Cookie Ini

Will Thomas dari Pusat Analisis Ancaman Equinix (ETAC)ditemukan beberapa domain tambahan bertema Coinbase yang cocok dengan deskripsi perusahaan, yang mungkin digunakan dalam serangan tersebut:

• sso-cbhq[.]com
• sso-cb[.]com
• coinbase[.]sso-cloud[.]com

Perlu dicatat bahwa modus operandi penyerang mirip dengan apa yang diamati selamaScatter Swine/0ktapus kampanye phishing tahun lalu dan Coinbase percaya bahwa pelaku ancaman yang sama bertanggung jawab atas serangan tersebut.

Menurut perusahaan cybersecurity Group-IB, aktor ancaman mencuri hampir 1.000 login akses perusahaan dengan mengirimkan tautan phishing melalui SMS ke karyawan perusahaan.

Karyawan perusahaan yang mengelola aset digital dan memiliki kehadiran online yang kuat pasti akan menjadi sasaran pelaku rekayasa sosial di beberapa titik.

Mengadopsi pertahanan berlapis dapat membuat serangan cukup menantang bagi sebagian besar pelaku ancaman untuk menyerah. Menerapkan perlindungan MFA dan penggunaan token keamanan fisik dapat membantu melindungi akun konsumen dan perusahaan.