https://www.bleepingcomputer.com/news/security/coinbase-cyberattack-targeted-employees-with-fake-sms-alert/

코인베이스 암호화폐 거래소 플랫폼은 알려지지 않은 공격자가 회사 시스템에 대한 원격 액세스 권한을 얻기 위해 직원 중 한 명의 로그인 자격 증명을 훔쳤다고 밝혔습니다.

침입 결과 공격자는 여러 Coinbase 직원의 일부 연락처 정보를 입수했으며 고객 자금과 데이터는 영향을 받지 않았다고 덧붙였습니다.

Coinbase의 사이버 통제는 공격자가 시스템에 직접 액세스하는 것을 방지하고 자금 손실이나 고객 정보 손상을 방지했습니다. 회사 디렉토리에서 제한된 양의 데이터만 노출되었습니다.코인베이스

Coinbase는 다른 회사가 위협 행위자의 전술, 기술 및 절차(TTP)를 식별하고 적절한 방어를 설정하도록 돕기 위해 조사 결과를 공유했습니다.

공격 세부 정보

공격자는 2월 5일 일요일에 여러 Coinbase 엔지니어를 대상으로 중요한 메시지를 읽으려면 회사 계정에 로그인하도록 촉구하는 SMS 알림을 보냈습니다.

대부분의 직원은 메시지를 무시했지만 그 중 한 명은 속임수에 넘어가 피싱 페이지 링크를 따라갔습니다. 자격 증명을 입력한 후 감사 메시지를 받고 메시지를 무시하라는 메시지가 표시되었습니다.

다음 단계에서 공격자는 훔친 자격 증명을 사용하여 Coinbase의 내부 시스템에 로그인을 시도했지만 다단계 인증(MFA)으로 액세스가 보호되어 실패했습니다.

약 20분 후 공격자는 다른 전략으로 이동했습니다. 그들은 Coinbase IT 팀 직원이라고 주장하는 직원에게 전화를 걸어 피해자에게 워크스테이션에 로그인하고 몇 가지 지침을 따르라고 지시했습니다.

"다행히도 자금이 인출되지 않았고 고객 정보에 액세스하거나 조회되지 않았지만 직원의 제한된 연락처 정보, 특히 직원 이름, 이메일 주소 및 일부 전화 번호가 유출되었습니다." -코인베이스

Coinbase의 CSIRT는 공격 시작 후 10분 이내에 비정상적인 활동을 감지하고 피해자에게 연락하여 계정에서 최근 비정상적인 활동이 있는지 문의했습니다. 그런 다음 직원은 무언가 잘못되었음을 깨닫고 공격자와의 통신을 종료했습니다.

방어

Coinbase는 다른 회사가 유사한 공격을 식별하고 방어하는 데 사용할 수 있는 관찰된 TTP 중 일부를 공유했습니다.

• sso-.com, -sso.com, login.-sso.com, dashboard-.com 및 *-dashboard.com을 포함하여 회사의 기술 자산에서 특정 주소로의 모든 웹 트래픽.
• AnyDesk(anydesk dot com) 및 ISL Online(islonline[.]com)을 포함한 특정 원격 데스크톱 뷰어의 모든 다운로드 또는 다운로드 시도
• 타사 VPN 공급자, 특히 Mullvad VPN에서 조직에 액세스하려는 모든 시도
• Google Voice, Skype, Vonage/Nexmo 및 Bandwidth를 포함한 특정 공급자로부터 수신 전화/문자 메시지
• 다음을 포함한 특정 브라우저 확장 프로그램을 설치하려는 예기치 않은 시도EditThisCookie

Equinix Threat Analysis Center(ETAC)의 윌 토마스설립하다 공격에 사용되었을 가능성이 있는 회사 설명과 일치하는 일부 추가 Coinbase 테마 도메인:

• sso-cbhq[.]com
• sso-cb[.]com
• coinbase[.]sso-cloud[.]com

공격자의 수법이Scatter Swine/0ktapus 피싱 캠페인 작년과 Coinbase는 동일한 위협 행위자가 공격에 책임이 있다고 믿습니다.

사이버 보안 회사인 Group-IB에 따르면 위협 행위자는 회사 직원에게 SMS를 통해 피싱 링크를 전송하여 거의 1,000개의 기업 액세스 로그인을 훔쳤습니다.

디지털 자산을 관리하고 강력한 온라인 입지를 가진 회사의 직원은 어느 시점에서 사회 공학 공격자의 표적이 될 수 밖에 없습니다.

다계층 방어를 채택하면 대부분의 위협 행위자가 포기하기에 충분히 어려운 공격이 될 수 있습니다. MFA 보호를 구현하고 물리적 보안 토큰을 사용하면 소비자와 기업 계정을 모두 보호할 수 있습니다.