https://www.bleepingcomputer.com/news/security/coinbase-cyberattack-targeted-employees-with-fake-sms-alert/

Coinbase 暗号通貨交換プラットフォームは、未知の攻撃者が会社のシステムへのリモート アクセスを取得しようとして、従業員の 1 人のログイン資格情報を盗んだことを明らかにしました。

侵入の結果、攻撃者はコインベースの複数の従業員に属する連絡先情報を入手したと同社は述べ、顧客の資金とデータは影響を受けなかったと付け加えた。

Coinbase のサイバー コントロールは、攻撃者がシステムに直接アクセスすることを防ぎ、資金の損失や顧客情報の侵害を防ぎました。社内ディレクトリからの限られた量のデータのみが公開されました -コインベース

Coinbase は、他の企業が攻撃者の戦術、技術、および手順 (TTP) を特定し、適切な防御を設定するのに役立つ調査結果を共有しました。

攻撃の詳細

攻撃者は、2 月 5 日日曜日に複数の Coinbase エンジニアを標的とし、重要なメッセージを読むために会社のアカウントにログインするよう促す SMS アラートを送信しました。

ほとんどの従業員はメッセージを無視しましたが、そのうちの 1 人が騙されてフィッシング ページへのリンクをたどりました。資格情報を入力した後、彼らは感謝され、メッセージを無視するように求められました.

次の段階で、攻撃者は盗んだ認証情報を使用して Coinbase の内部システムにログインしようとしましたが、多要素認証 (MFA) でアクセスが保護されていたため失敗しました。

約 20 分後、攻撃者は別の戦略に移りました。彼らは、Coinbase IT チームの従業員であると主張する従業員に電話をかけ、被害者にワークステーションにログインしていくつかの指示に従うように指示しました。

「幸いなことに、資金は盗まれず、顧客情報へのアクセスや閲覧もありませんでしたが、従業員の限定的な連絡先情報、具体的には従業員の名前、電子メール アドレス、および一部の電話番号が盗まれました」 -コインベース

Coinbase の CSIRT は、攻撃開始から 10 分以内に異常なアクティビティを検出し、被害者に連絡して、アカウントからの最近の異常なアクティビティについて問い合わせました。その後、従業員は何かがおかしいことに気づき、攻撃者との通信を終了しました。

守備

Coinbase は、他の企業が同様の攻撃を特定して防御するために使用できる、観察された TTP の一部を共有しています。

• 会社のテクノロジー資産から特定のアドレス (sso-.com、-sso.com、login.-sso.com、dashboard-.com、*-dashboard.com など) への Web トラフィック。
• AnyDesk (anydesk dot com) や ISL Online (islonline[.]com) など、特定のリモート デスクトップ ビューアのダウンロードまたはダウンロードの試み
• サードパーティの VPN プロバイダー、特に Mullvad VPN から組織にアクセスしようとする試み
• Google Voice、Skype、Vonage/Nexmo、Bandwidth などの特定のプロバイダーからの着信通話/テキスト メッセージ
• 特定のブラウザ拡張機能をインストールしようとする予期しない試み。EditThisCookie

Equinix Threat Analysis Center (ETAC) の Will Thomas見つかった 攻撃で使用された可能性がある、会社の説明と一致するいくつかの追加のコインベースをテーマにしたドメイン:

• sso-cbhq[.]com
• sso-cb[.]com
• coinbase[.]sso-cloud[.]com

攻撃者の手口が、攻撃中に観察されたものと類似していることは注目に値します。Swine/0ktapus フィッシング キャンペーンの散布 昨年、Coinbase は同じ脅威アクターが攻撃に関与していると考えています。

サイバーセキュリティ企業 Group-IB によると、攻撃者は SMS を介してフィッシング リンクを会社の従業員に送信することで、約 1,000 件の企業アクセス ログインを盗みました。

デジタル資産を管理し、強力なオンライン プレゼンスを持つ企業の従業員は、ある時点でソーシャル エンジニアリング アクターの標的になることは間違いありません。

多層防御を採用すると、ほとんどの脅威アクターがあきらめるのに十分なほど挑戦的な攻撃になる可能性があります。 MFA 保護を実装し、物理的なセキュリティ トークンを使用すると、消費者アカウントと企業アカウントの両方を保護できます。