Mandiant'ın X hesabı Brute Force saldırısı kullanılarak hacklendi
Geçen hafta Mandiant'ın X (eski adıyla Twitter) hesabının ele geçirilmesi, muhtemelen bir "Brute Force parola saldırısının" sonucuydu ve saldırıyı bir hizmet olarak süzgeç (DaaS) grubuna atfetti.
Tehdit istihbarat firması, X'te paylaşılan bir gönderide, "Normalde, [iki faktörlü kimlik doğrulama] bunu hafifletirdi, ancak bazı ekip geçişleri ve X'in 2FA politikasındaki bir değişiklik nedeniyle yeterince korunmadık" dedi.
3 Ocak 2023'te gerçekleşen saldırı, tehdit aktörünün şirketin X hesabının kontrolünü ele geçirmesini ve CLINKSINK olarak izlenen bir kripto para birimi süzgecini barındıran bir kimlik avı sayfasına bağlantılar dağıtmasını sağladı.
Drainer'lar, işlemleri onaylamaları için kandırıldıktan sonra kurbanın cüzdanlarından dijital varlıkların çalınmasını kolaylaştıran kötü amaçlı komut dosyalarına ve akıllı sözleşmelere atıfta bulunur.
Google'ın sahip olduğu yan kuruluşa göre, birden fazla tehdit aktörünün Solana (SOL) kripto para birimi kullanıcılarından fon ve token çekmek için Aralık 2023'ten bu yana CLINKSINK'ten yararlandığına inanılıyor.
Angel Drainer ve Inferno Drainer gibi diğer drainer'larda gözlemlendiği gibi, bağlı kuruluşlar, çalınan varlıkların kesilmesi (tipik olarak %20) karşılığında saldırıları gerçekleştirmek için DaaS operatörleri tarafından iple çekilir.
Tanımlanan etkinlik kümesi, en az 35 bağlı kuruluş kimliği ve 42 benzersiz Solana cüzdan adresi içerir ve aktörlere toplu olarak en az 900.000 $ yasa dışı kâr sağlar.
Saldırı zincirleri, hedefleri sahte bir token airdrop'u talep etmek için cüzdanlarını bağlamaya teşvik eden kripto para temalı kimlik avı sayfalarını dağıtmak için X ve Discord gibi sosyal medya ve sohbet uygulamalarının kullanılmasını içerir.
Güvenlik araştırmacıları Zach Riddle, Joe Dobson, Lukasz Lamparski ve Stephen Eckels, "Cüzdanlarını bağladıktan sonra, kurbandan drenaj hizmetine bir işlem imzalaması isteniyor ve bu da kurbandan para çekmesine izin veriyor" dedi.
Bir JavaScript süzgeci olan CLINKSINK, hedeflenen cüzdanlara giden bir yol açmak, cüzdandaki mevcut bakiyeyi kontrol etmek ve nihayetinde kurbandan hileli bir işlem imzalamasını istedikten sonra hırsızlığı gerçekleştirmek için tasarlanmıştır. Bu aynı zamanda, mağdurun işlemi reddetmesi durumunda hırsızlık girişiminin başarılı olmayacağı anlamına gelir.
Süzgeç ayrıca Chick Drainer (veya Rainbow Drainer) dahil olmak üzere çeşitli varyantlar üreterek, kaynak kodunun birden fazla tehdit aktörü tarafından kullanılabilir olma olasılığını artırarak bağımsız boşaltma kampanyaları oluşturmalarına olanak tanıdı.
Mandiant, "Birçok drenajın geniş kullanılabilirliği ve düşük maliyeti, nispeten yüksek bir kâr potansiyeli ile birleştiğinde, onları finansal olarak motive olmuş birçok aktör için çekici operasyonlar haline getiriyor" dedi.
"Kripto para birimi değerlerindeki artış ve boşaltma operasyonları için düşük giriş engeli göz önüne alındığında, farklı karmaşıklık seviyelerine sahip finansal olarak motive edilmiş tehdit aktörlerinin öngörülebilir gelecekte boşaltma operasyonları yürütmeye devam edeceğini tahmin ediyoruz."
Gelişme, kripto para dolandırıcılığını yaymak için meşru X hesaplarını hedef alan saldırılardaki artışın ortasında geldi.
Bu haftanın başlarında, ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ile ilişkili X hesabı, düzenleyici kurumun "spot bitcoin borsada işlem gören ürünlerin listelenmesini ve ticaretini onayladığını" iddia etmek için ihlal edildi ve bitcoin fiyatlarının kısa bir süre yükselmesine neden oldu.
X o zamandan beri saldırının "kimliği belirsiz bir kişinin üçüncü bir taraf aracılığıyla @SECGov hesapla ilişkili bir telefon numarası üzerinde kontrol sahibi olmasının" sonucu olduğunu ve hesapta iki faktörlü kimlik doğrulamanın etkinleştirilmediğini açıkladı.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı