https://www.bleepingcomputer.com/news/security/coinbase-cyberattack-targeted-employees-with-fake-sms-alert/

Coinbase 加密货币交易平台透露，一个未知的威胁行为者窃取了其一名员工的登录凭据，试图远程访问公司的系统。

该公司表示，由于入侵，攻击者获得了属于多名 Coinbase 员工的一些联系信息，并补充说客户资金和数据未受影响。

Coinbase 的网络控制阻止了攻击者获得直接系统访问权限，并防止了任何资金损失或客户信息泄露。我们公司目录中只有有限数量的数据被暴露 -币库

Coinbase 分享了他们的调查结果，以帮助其他公司识别威胁行为者的策略、技术和程序 (TTP) 并建立适当的防御措施。

攻击详情

攻击者于 2 月 5 日星期日针对几位 Coinbase 工程师发送短信提醒，敦促他们登录公司帐户以阅读重要消息。

虽然大多数员工忽略了这些消息，但其中一名员工上当受骗，点击链接进入钓鱼页面。输入凭据后，系统会感谢他们并提示他们忽略该消息。

在下一阶段，攻击者试图使用窃取的凭证登录 Coinbase 的内部系统，但失败了，因为访问受到多因素身份验证 (MFA) 的保护。

大约 20 分钟后，攻击者转向另一种策略。他们打电话给自称来自 Coinbase IT 团队的员工，并指示受害者登录他们的工作站并按照一些说明进行操作。

“幸运的是，没有资金被盗用，也没有客户信息被访问或查看，但我们员工的一些有限联系信息被盗用，特别是员工姓名、电子邮件地址和一些电话号码” -币库

Coinbase 的 CSIRT 在攻击开始后的 10 分钟内检测到异常活动，并联系受害者询问他们账户最近的异常活动。该员工随后意识到出了点问题，并终止了与攻击者的通信。

卫冕

Coinbase 分享了一些观察到的 TTP，其他公司可以使用这些 TTP 来识别类似的攻击并进行防御：

• 从公司技术资产到特定地址的任何网络流量，包括 sso-.com、-sso.com、login.-sso.com、dashboard-.com 和 *-dashboard.com。
• 特定远程桌面查看器的任何下载或尝试下载，包括 AnyDesk (anydesk dot com) 和 ISL Online (islonline[.]com)
• 任何从第三方 VPN 提供商访问组织的尝试，特别是 Mullvad VPN
• 来自特定提供商的来电/短信，包括 Google Voice、Skype、Vonage/Nexmo 和 Bandwidth
• 安装特定浏览器扩展的任何意外尝试，包括EditThisCookie

Equinix 威胁分析中心 (ETAC) 的 Will Thomas成立 一些与公司描述相匹配的额外 Coinbase 主题域，这些域可能在攻击中使用：

• sso-cbhq[.]com
• sso-cb[.]com
• coinbase[.]sso-cloud[.]com

值得注意的是，攻击者的作案手法与在Scatter Swine/0ktapus 网络钓鱼活动 去年和 Coinbase 认为，同一个威胁演员应对这次袭击负责。

据网络安全公司 Group-IB 称，威胁行为者通过短信向公司员工发送网络钓鱼链接，窃取了近 1,000 个公司访问登录信息。

管理数字资产并拥有强大在线影响力的公司的员工在某些时候必然会成为社会工程参与者的目标。

采用多层防御可以使攻击具有足够的挑战性，让大多数威胁参与者放弃。实施 MFA 保护和使用物理安全令牌可以帮助保护消费者和公司帐户。