Coinbase kripto para değişim platformu, bilinmeyen bir tehdit aktörünün şirket sistemlerine uzaktan erişim sağlamak amacıyla çalışanlarından birinin giriş bilgilerini çaldığını açıkladı.
Girişimin bir sonucu olarak saldırgan, birden fazla Coinbase çalışanına ait bazı iletişim bilgileri elde ettiğini söyledi.
Coinbase'in siber kontrolleri, saldırganın doğrudan sistem erişimi kazanmasını engelledi ve fon kaybını veya müşteri bilgilerinden ödün vermesini engelledi. Kurumsal dizinimizden sadece sınırlı miktarda veri ortaya çıktı - Coinbase
Coinbase, diğer şirketlerin tehdit oyuncunun taktiklerini, tekniklerini ve prosedürünü (TTP'ler) tanımlamalarına ve uygun savunmaları oluşturmalarına yardımcı olmak için soruşturmalarının bulgularını paylaştı.
Saldırgan, 5 Şubat Pazar günü SMS uyarıları ile önemli bir mesaj okumak için şirket hesaplarına giriş yapmaya çağıran birkaç Coinbase mühendisini hedef aldı.
Çoğu çalışan mesajları görmezden gelirken, bunlardan biri hile için düştü ve bir kimlik avı sayfasına bağlantıyı takip etti. Kimlik bilgilerini girdikten sonra teşekkür edildi ve mesajı göz ardı etmeleri istendi.
Bir sonraki aşamada, saldırgan çalınan kimlik bilgilerini kullanarak Coinbase'in dahili sistemlerine giriş yapmaya çalıştı, ancak erişim çok faktörlü kimlik doğrulama (MFA) ile korunduğu için başarısız oldu.
Kabaca 20 dakika sonra, saldırgan başka bir stratejiye geçti. Çalışanı Coinbase BT ekibinden olduğunu iddia eden ve kurbanı iş istasyonlarına giriş yapmaya ve bazı talimatları izlemeye yönlendirdiler.
"Neyse ki hiçbir fon alınmadı ve hiçbir müşteri bilgilerine erişilmedi veya görüntülenmedi, ancak çalışanlarımız için bazı sınırlı iletişim bilgileri alındı, özellikle çalışan adları, e -posta adresleri ve bazı telefon numaraları" - Coinbase
Coinbase'in CSIRT, saldırının başlamasından bu yana 10 dakika içinde olağandışı faaliyeti tespit etti ve hesaplarından olağandışı son faaliyetler hakkında bilgi almak için kurbanla temasa geçti. Çalışan daha sonra bir şeyin yanlış olduğunu fark etti ve saldırganla iletişimi sonlandırdı.
Coinbase, diğer şirketlerin benzer bir saldırıyı tanımlamak ve ona karşı savunmak için kullanabileceği gözlemlenen bazı TTP'leri paylaştı:
Equinix Tehdit Analiz Merkezi'nden (ETAC) Thomas, saldırıda muhtemelen kullanılan şirket açıklamasına uyan bazı ek parayı temalı alanlar buldu:
Saldırganın modus operandi'nin geçen yıl Scatter Swine/0ktapus kimlik avı kampanyaları sırasında gözlemlenene benzer olduğunu ve Coinbase'in aynı tehdit oyuncunun saldırıdan sorumlu olduğuna inanıyor.
Siber güvenlik şirketi Grup-IB'ye göre, tehdit oyuncusu, şirket çalışanlarına SMS üzerinden kimlik avı bağlantıları göndererek yaklaşık 1.000 kurumsal erişim girişini çaldı.
Dijital varlıkları yöneten ve güçlü bir çevrimiçi varlığı olan şirketlerin çalışanları, bir noktada sosyal mühendislik aktörleri tarafından hedeflenmesi gerekiyor.
Çok katmanlı bir savunmayı benimsemek, çoğu tehdit aktörünün vazgeçmesi için bir saldırıyı yeterince zorlaştırabilir. MFA korumasının uygulanması ve fiziksel güvenlik belirteçlerinin kullanılması hem tüketici hem de kurumsal hesapların korunmasına yardımcı olabilir.
Activision, çalışan ve oyun bilgilerini ortaya çıkaran veri ihlalini onaylar
Çalınan çalışan kimlik bilgilerinin neden olduğu Atlassian veri sızıntısı
JD Sports, bilgisayar korsanlarının 10 milyon müşterinin verilerini çaldığını söylüyor
Goto, bilgisayar korsanlarının müşterilerin yedeklerini ve şifreleme anahtarını çaldığını söylüyor
Fanduels, satıcı hack'te çalınan müşteri bilgilerinin ardından veri ihlalini uyarıyor
Kaynak: Bleeping Computer