Coinbase แพลตฟอร์มการแลกเปลี่ยน cryptocurrency ชื่อดัง ออกมายอมรับว่าถูกแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เพื่อพยายามเข้าถึงระบบของบริษัทจากภายนอก
ผลจากการโจมตีทำให้แฮ็กเกอร์ได้ข้อมูลติดต่อของพนักงาน Coinbase จำนวนหนึ่ง โดยข้อมูลทางการเงิน และข้อมูลของลูกค้ายังไม่ได้รับผลกระทบ
รายละเอียดการโจมตี
แฮ็กเกอร์มุ่งเป้าไปที่ engineer ของ Coinbase จำนวนมาก ในวันอาทิตย์ที่ 5 กุมภาพันธ์ โดยมีการส่งข้อความแจ้งเตือนทาง SMS เพื่อให้ล็อกอินเข้าสู่บัญชีของบริษัทเพื่ออ่านข้อความสำคัญ โดยที่พนักงานส่วนใหญ่ไม่ได้สนใจข้อความ แต่มีพนักงานคนหนึ่งคลิกลิงก์ไปยังหน้าฟิชชิ่ง และมีการป้อนข้อมูล credentials
ขั้นตอนต่อไป แฮ็กเกอร์พยายามเข้าสู่ระบบภายในของ Coinbase โดยใช้ข้อมูล credentials ที่ถูกขโมยไป แต่ล้มเหลวเนื่องจากการเข้าถึงได้รับการป้องกันด้วย multi-factor authentication (MFA) และ 20 นาทีต่อมา แฮ็กเกอร์ก็เปลี่ยนไปใช้กลยุทธ์อื่น โดยโทรหาพนักงาน และอ้างว่าติดต่อมาจากทีม IT ของ Coinbase และสั่งให้เหยื่อลงชื่อเข้าใช้งานระบบ และทำตามคำแนะนำ
CSIRT ของ Coinbase ตรวจพบพฤติกรรมที่ผิดปกติภายใน 10 นาทีนับตั้งแต่เริ่มการโจมตี และติดต่อเหยื่อเพื่อสอบถามเกี่ยวกับพฤติกรรมล่าสุดที่ผิดปกติจากบัญชี หลังจากนั้นพนักงานก็ตระหนักว่ามีบางอย่างผิดปกติ และหยุดการสื่อสารกับผู้โจมตี
การป้องกัน
Coinbase ได้แชร์ TTPs ที่สามารถใช้เพื่อระบุการโจมตีที่คล้ายกัน และเพื่อป้องกันการโจมตีดังกล่าว:
- การเข้าใช้งาน web traffic ไปยังที่อยู่ : sso-[.]com, sso[.]com, login. sso[.]com, dashboard[.]com และ *-dashboard[.]com
- การดาวน์โหลด หรือการพยายามดาวน์โหลดของโปรแกรม AnyDesk (anydesk dot com) และ ISL Online (islonline[.]com)
- ความพยายาม ในการเข้าถึงองค์กรจากผู้ให้บริการ VPN third-party โดยเฉพาะ Mullvad VPN
- สายเรียกเข้า/ข้อความจากผู้ให้บริการ เช่น Google Voice, Skype, Vonage/Nexmo และ Bandwidth
- การพยายามติดตั้ง extensions บน browser เช่น EditThisCookie
Will Thomas ผู้เชี่ยวชาญจาก Equinix Threat Analysis Center (ETAC) พบโดเมนเพิ่มเติมของผู้โจมตีซึ่งอาจเกี่ยวข้องกับการโจมตี Coinbase :
- sso-cbhq[.] com
- sso-cb[.] com
- Coinbase[.]sso-cloud[.] com
น่าสังเกตว่าวิธีการดำเนินการของผู้โจมตีนั้นคล้ายคลึงกับเหตุการณ์ที่พบในแคมเปญฟิชชิ่ง Scatter Swine/0ktapus เมื่อปีที่ผ่านมา และ Coinbase เชื่อว่าเป็นผู้โจมตีกลุ่มเดียวกัน
ซึ่งจากรายงานของบริษัทรักษาความปลอดภัยทางไซเบอร์ Group-IB ในครั้งนั้นแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบขององค์กรเกือบ 1,000 รายการ โดยการส่งลิงก์ฟิชชิ่งผ่าน SMS ไปยังพนักงานของบริษัท
โดยการเปิดการใช้งาน MFA และการใช้ security tokens สามารถช่วยปกป้องทั้งบัญชีของผุ้ใช้งาน และขององค์กรได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.