Serangan Siber Ke Coinbase Menargetkan Karyawan Dengan Peringatan SMS Palsu

Platform pertukaran cryptocurrency Coinbase mengungkapkan bahwa aktor ancaman yang tidak dikenal mencuri kredensial masuk salah satu karyawannya dalam upaya untuk mendapatkan akses jarak jauh ke sistem perusahaan.

Dikutip dari Bleeping Computer, perusahaan mengatakan, sebagai akibat dari intrusi, penyerang memperoleh beberapa informasi kontak milik beberapa karyawan Coinbase, kata perusahaan itu, menambahkan bahwa dana dan data pelanggan tetap tidak terpengaruh.

Bagian kontrol siber dari Coinbase mencegah penyerang mendapatkan akses sistem langsung dan mencegah hilangnya dana atau kompromi informasi pelanggan. Hanya sejumlah kecil data dari direktori perusahaan kami yang terungkap – Coinbase.

“Coinbase telah membagikan temuan penyelidikan mereka untuk membantu perusahaan lain mengidentifikasi taktik, teknik, dan prosedur (TTP) aktor ancaman dan menyiapkan pertahanan yang sesuai,” kata perusahaan itu.

Perusahaan mengatakan, penyerang menargetkan beberapa insinyur Coinbase pada hari Minggu, 5 Februari dengan peringatan SMS mendesak mereka untuk masuk ke akun perusahaan mereka untuk membaca pesan penting. Sementara sebagian besar karyawan mengabaikan pesan tersebut, salah satu dari mereka tertipu dan mengikuti tautan ke halaman phishing. Setelah memasukkan kredensial mereka, mereka berterima kasih dan diminta untuk mengabaikan pesan tersebut.

Pada fase berikutnya, penyerang mencoba masuk ke sistem internal Coinbase menggunakan kredensial yang dicuri tetapi gagal karena akses dilindungi dengan multi-factor authentication (MFA). Kira-kira 20 menit kemudian, penyerang beralih ke strategi lain. Mereka memanggil karyawan yang mengaku dari tim IT Coinbase dan mengarahkan korban untuk masuk ke workstation mereka dan mengikuti beberapa instruksi.

“Untungnya tidak ada dana yang diambil dan tidak ada informasi pelanggan yang diakses atau dilihat, tetapi beberapa informasi kontak terbatas untuk karyawan kami diambil, khususnya nama karyawan, alamat email, dan beberapa nomor telepon,” kata Coinbase.

CSIRT Coinbase mendeteksi aktivitas yang tidak biasa dalam waktu 10 menit sejak dimulainya serangan dan menghubungi korban untuk menanyakan tentang aktivitas terbaru yang tidak biasa dari akun mereka. Karyawan tersebut kemudian menyadari ada yang tidak beres dan memutuskan komunikasi dengan penyerang.

Coinbase telah membagikan beberapa TTP yang diamati yang dapat digunakan perusahaan lain untuk mengidentifikasi serangan serupa dan mempertahankannya: Setiap lalu lintas web dari aset teknologi perusahaan ke alamat tertentu, termasuk sso-.com, -sso.com, login.-sso.com, dashboard-.com, dan *-dashboard.com. Semua unduhan atau percobaan unduhan penampil desktop jarak jauh tertentu, termasuk AnyDesk (anydesk dot com) dan ISL Online (islonline[.]com)

Upaya apa pun dilakukan untuk mengakses organisasi dari penyedia VPN pihak ketiga, khususnya VPN Mullvad. Bahkan, panggilan telepon/pesan teks masuk dari penyedia tertentu, termasuk Google Voice, Skype, Vonage/Nexmo, dan Bandwidth Upaya tak terduga apa pun untuk memasang ekstensi peramban tertentu, termasuk EditThisCookie

Perlu dicatat bahwa modus operandi penyerang mirip dengan apa yang diamati selama kampanye phishing Scatter Swine/0ktapus tahun lalu. Menurut perusahaan cybersecurity Group-IB, aktor ancaman mencuri hampir 1.000 login akses perusahaan dengan mengirimkan tautan phishing melalui SMS ke karyawan perusahaan.


Sumber : https://cyberthreat.id/read/15391/Serangan-Siber-Ke-Coinbase-Menargetkan-Karyawan-Dengan-Peringatan-SMS-Palsu

Comments