암호화폐 거래소 코인베이스(Coinbase)는 보고했으며 , 이로 인해 로그인 자격 증명이 도용되고 dent 직원의 일부 연락처 정보가 노출되었습니다. 그러나 회사의 사이버 통제를 통해 공격자가 시스템에 직접 액세스하는 것을 방지했으며 고객 데이터나 자금이 손상되지 않았습니다.
“Coinbase는 최근 직원 중 한 명을 대상으로 한 사이버 보안 공격을 경험했습니다. 다행스럽게도 Coinbase의 사이버 통제는 공격자가 시스템에 직접 액세스하는 것을 방지하고 자금 손실이나 고객 정보 손상을 방지했습니다. 회사 디렉터리에서 제한된 양의 데이터만 노출되었습니다.”
코인베이스 팀
공격이 발생한 방법
Coinbase에 따르면 2월 5일 몇몇 직원이 중요한 메시지를 받으려면 긴급하게 로그인해야 한다는 SMS 메시지를 받았습니다. 대부분의 직원이 메시지를 무시했지만 한 직원은 합법적인 메시지라고 생각하여 링크를 클릭하고 로그인 정보를 입력했습니다. 합법적인 Coinbase 직원 사용자 이름과 암호를 갖춘 공격자는 회사에 대한 원격 액세스 권한을 얻기 위해 반복적으로 시도했지만 필요한 MFA(Multi-Factor Authentication) dent 증명을 제공할 수 없었기 때문에 액세스가 차단되었습니다.
이후 공격자는 해당 직원에게 전화를 걸어 자신이 Coinbase의 기업 정보 기술(IT) 부서라고 주장하며 직원의 도움을 요청했습니다. 전화를 건 사람이 합법적인 Coinbase IT 직원이라고 생각한 직원은 자신의 워크스테이션에 로그인하고 공격자의 지시를 따랐습니다. 그러나 직원은 대화가 진행될수록 점점 의심스러워졌고 결국 요청은 너무 의심스러워졌습니다.
Coinbase는 자금이나 고객 정보가 손상되지 않았으며 회사 디렉토리의 제한된 양의 데이터만 노출되었다고 고객을 안심시켰습니다. 이 dent 성공적인 사이버 공격을 방지하는 데 있어 tron 사이버 통제와 직원 인식의 중요성을 강조합니다.
사이버 공격 방지
Coinbase는 다른 암호화 회사가 유사한 공격을 dent 하고 방어하는 데 사용할 수 있는 몇 가지 핵심 전술, 기술 및 절차(TTP)를 공유했습니다.
TTP에는 회사의 기술 자산에서 sso-.com, -sso.com, login.-sso.com, dashboard-.com 및 *-dashboard.com과 같은 특정 주소로의 웹 트래픽 모니터링이 포함됩니다. 또한 Coinbase에 따르면 AnyDesk 및 ISL Online을 포함한 특정 원격 데스크톱 뷰어의 다운로드 또는 시도된 다운로드와 타사 VPN 공급자, 특히 Mullvad VPN에서 조직에 액세스하려는 시도를 모니터링하는 것이 중요합니다.
또한 Coinbase는 암호화 회사가 Google Voice, Skype, Vonage/Nexmo 및 Bandwidth를 포함한 특정 공급자로부터 들어오는 전화/문자 메시지를 경계해야 한다고 공유했습니다. 또한 EditThisCookie를 포함하여 특정 브라우저 확장 프로그램을 설치하려는 예기치 않은 시도를 모니터링해야 합니다.
ETAC(Equinix Threat Analysis Center)의 Will Thomas에 따르면 sso-cbhq[.]com, sso-cb[.]com 및 coinbase[.]sso-cloud[.]와 같은 일부 추가 Coinbase 테마 도메인이 있습니다. com이 공격에 사용되었을 가능성이 있습니다. 공격자의 수법이 작년 Scatter Swine/0ktapus 피싱 캠페인에서 관찰된 것과 유사하다는 것을 아는 것이 중요합니다.
사이버 보안 회사인 Group-IB도 위협 행위자가 회사 직원에게 SMS를 통해 피싱 링크를 전송하여 거의 1,000개의 기업 액세스 로그인을 훔쳤다고 보고했습니다.
