Coinbase 暗号通貨交換プラットフォームは、未知の脅威アクターが会社のシステムへのリモート アクセスを取得しようとして、従業員の 1 人のログイン資格情報を盗んだことを明らかにしました。
侵入の結果、攻撃者はコインベースの複数の従業員に属する連絡先情報を入手したと同社は述べ、顧客の資金とデータは影響を受けなかったと付け加えた。
Coinbase のサイバー コントロールは、攻撃者がシステムに直接アクセスすることを防ぎ、資金の損失や顧客情報の侵害を防ぎました。社内ディレクトリからの限られた量のデータのみが公開されました – Coinbase
Coinbase は、他の企業が脅威アクターの戦術、技術、および手順 (TTP) を特定し、適切な防御を設定するのに役立つ調査結果を共有しています。
攻撃の詳細
攻撃者は、2 月 5 日日曜日に複数の Coinbase エンジニアを標的とし、重要なメッセージを読むために会社のアカウントにログインするよう促す SMS アラートを送信しました。
ほとんどの従業員はメッセージを無視しましたが、そのうちの 1 人が騙されてフィッシング ページへのリンクをたどりました。資格情報を入力した後、彼らは感謝され、メッセージを無視するように求められました.
次のフェーズでは、攻撃者は盗んだ資格情報を使用して Coinbase の内部システムにログインしようとしましたが、アクセスが多要素認証 (MFA) で保護されていたため失敗しました。
約 20 分後、攻撃者は別の戦略に移りました。彼らは、Coinbase IT チームの従業員であると主張する従業員に電話をかけ、被害者にワークステーションにログインしていくつかの指示に従うように指示しました。
「幸いなことに、資金は盗まれず、顧客情報へのアクセスや閲覧もありませんでしたが、従業員の名前、電子メールアドレス、電話番号など、従業員の限られた連絡先情報が盗まれました」 – Coinbase
Coinbase の CSIRT は、攻撃開始から 10 分以内に異常なアクティビティを検出し、被害者に連絡して、アカウントからの最近の異常なアクティビティについて問い合わせました。その後、従業員は何かがおかしいことに気づき、攻撃者との通信を終了しました。
守備
Coinbase は、他の企業が同様の攻撃を特定して防御するために使用できる、観察された TTP の一部を共有しています。
- 企業のテクノロジー資産から特定のアドレス (sso-.com、-sso.com、login.-sso.com、dashboard-.com、*-dashboard.com など) への Web トラフィック。
- AnyDesk (anydesk dot com) や ISL Online (islonline[.]com) など、特定のリモート デスクトップ ビューアのダウンロードまたはダウンロードの試み
- サードパーティの VPN プロバイダー、特に Mullvad VPN から組織にアクセスしようとする試み
- Google Voice、Skype、Vonage/Nexmo、Bandwidth などの特定のプロバイダーからの着信通話/テキスト メッセージ
- EditThisCookieを含む特定のブラウザ拡張機能をインストールしようとする予期しない試み
デジタル資産を管理し、強力なオンライン プレゼンスを持つ企業の従業員は、ある時点でソーシャル エンジニアリング アクターの標的になることは間違いありません。
多層防御を採用すると、ほとんどの脅威アクターがあきらめるのに十分なほど挑戦的な攻撃になる可能性があります。 MFA 保護を実装し、物理的なセキュリティ トークンを使用すると、消費者アカウントと企業アカウントの両方を保護できます。
Comments