仮想通貨取引所 Coinbase は、従業員の 1 人を標的とした最近のサイバー攻撃により、ログイン認証情報が盗まれdent複数の従業員の連絡先情報の一部が漏洩したと報告し しかし、同社のサイバー制御により、攻撃者がシステムに直接アクセスすることは阻止され、顧客データや資金が侵害されることはありませんでした。
「Coinbase は最近、従業員の 1 人を狙ったサイバーセキュリティ攻撃に遭遇しました。 幸いなことに、Coinbase のサイバー制御により、攻撃者がシステムに直接アクセスすることは阻止され、資金の損失や顧客情報の侵害は阻止されました。 当社の企業ディレクトリからの限られた量のデータのみが流出しました。」
コインベースチーム
攻撃がどのように発生したか
Coinbase によると、2 月 5 日、数人の従業員が重要なメッセージを受信するために緊急にログインする必要があることを示す SMS メッセージを受け取りました。 ほとんどの従業員はメッセージを無視しましたが、ある従業員はそれが正当なメッセージであると考え、リンクをクリックしてログイン情報を入力しました。 攻撃者は、Coinbase の正規の従業員のユーザー名とパスワードを使用して、会社へのリモート アクセスを繰り返し試みましたが、必要な多要素認証 (MFA)dent情報を提供できず、アクセスがブロックされました。
その後、攻撃者はその従業員に電話をかけ、Coinbase の企業情報技術 (IT) 部門の者であると主張し、従業員に助けを求めました。 この従業員は、発信者が正規の Coinbase IT スタッフ メンバーであると信じ、ワークステーションにログインし、攻撃者の指示に従いました。 しかし、会話が進むにつれて従業員はますます疑念を抱き、最終的には要求があまりにも疑わしいものになってしまいました。
Coinbase は、資金や顧客情報が侵害されることはなく、企業ディレクトリからの限られた量のデータのみが公開されたことを顧客に安心させました。 このdent、サイバー攻撃の成功を防ぐためには、tronなサイバー管理と従業員の意識の重要性を浮き彫りにしました。
サイバー攻撃の防止
Coinbaseは、他の暗号通貨企業が同様の攻撃をdentし、防御するために使用できるいくつかの重要な戦術、技術、手順(TTP)を共有しました。
TTP には、企業のテクノロジー資産から sso-.com、-sso.com、login.-sso.com、dashboard-.com、および *-dashboard.com などの特定のアドレスへの Web トラフィックの監視が含まれます。 さらに、Coinbase によると、AnyDesk や ISL Online などの特定のリモート デスクトップ ビューアのダウンロードまたはダウンロード試行、およびサードパーティ VPN プロバイダー、特に Mullvad VPN からの組織へのアクセスの試みを監視することが重要です。
さらに、Coinbaseは、暗号通貨企業は、Google Voice、Skype、Vonage/Nexmo、Bandwidthなどの特定のプロバイダーからの着信電話/テキストメッセージに注意する必要があるとも共有しました。 また、EditThisCookie などの特定のブラウザ拡張機能をインストールしようとする予期しない試行も監視する必要があります。
Equinix Threat Analysis Center (ETAC) の Will Thomas 氏によると、sso-cbhq[.]com、sso-cb[.]com、coinbase[.]sso-cloud[.] など、Coinbase をテーマにしたドメインがいくつか追加されているとのことです。 com が攻撃に使用された可能性があります。 攻撃者の手口は、昨年の Scatter Swine/0ktapus フィッシング キャンペーン中に観察されたものと似ていることを知っておくことが重要です。
サイバーセキュリティ企業の Group-IB も、攻撃者が SMS 経由でフィッシング リンクを従業員に送信し、企業のアクセス ログイン約 1,000 件を盗んだと報告しました。
