Mandiant признает, что взломанная учетная запись X не имела 2FA

Mandiant утверждает, что потеря контроля над ее учетной записью X/Twitter на прошлой неделе, вероятно, была вызвана перебором пароля на учетную запись одного сотрудника со стороны мошенника с криптовалютой.

Обычно двухфакторная аутентификация (2FA) смягчила бы атаку, считает подразделение, принадлежащее Google. сказал в твиттере в среду, «но из-за некоторых изменений в команде и изменения в политике X 2FA мы не были должным образом защищены. Мы внесли изменения в наш процесс, чтобы такого больше не повторилось».

В твите не объясняется изменение политики X в отношении двухфакторной аутентификации или то, как оно способствовало взлому.

Нет никаких доказательств того, что злоумышленник использовал вредоносное ПО или скомпрометировал какие-либо системы Mandiant или Google Cloud в ходе действий, которые привели к захвату учетной записи, также сообщает Mandiant в отдельном блоге.

При атаке методом перебора злоумышленник отправляет украденные имена пользователей и пароли, парольные фразы или список подозрительных паролей на страницу входа до тех пор, пока не будет найден правильный.

Злоумышленник, получивший доступ, использовал его для публикации ссылок на фишинговую страницу для сбора криптовалюты. Драйнеры — это вредоносные сценарии и смарт-контракты, которые участники могут использовать для выкачивания средств и/или цифровых активов, таких как невзаимозаменяемые токены, из криптовалютных кошельков жертв после того, как их обманом заставили одобрить транзакции.

Наряду с пояснительным твитом Mandiant опубликовал подробный блог на канале Clinksink, который временно использовался злоумышленником. «С декабря 2023 года многие субъекты проводили кампании, в которых используется слив Clinksink для кражи средств и токенов у пользователей криптовалюты Solana (SOL)», — говорится в сообщении.

Выявленные кампании включали как минимум 35 партнерских идентификаторов, связанных с общей системой сбора данных как услуги (DaaS), использующей Clinksink. «Операторы этого DaaS предоставляют партнерским программам сливные скрипты в обмен на процент от украденных средств, обычно около 20 процентов. По нашим оценкам, общая стоимость активов, украденных филиалами в ходе этих недавних кампаний, составляет не менее 900 000 долларов США».

В отчете говорится, что злоумышленники нередко используют социальные сети и чат-приложения, в том числе X и Discord, для распространения фишинговых страниц на тему криптовалют, которые побуждают жертв взаимодействовать с программой Clinksink.

Этот инцидент является еще одним примером того, почему организации должны обеспечить блокировку своих учетных записей в социальных сетях, чтобы мошенники не смогли захватить их и использовать доступ для получения прибыли или причинения вреда.

На этой неделе Комиссия по ценным бумагам и биржам США ненадолго потеряла контроль над своим счетом X. В своем твиттере X сказал: SEC не включила для учетной записи двухфакторную аутентификацию. Он сказал Причиной стало то, что «неустановленное лицо получило контроль над номером телефона, связанным с [SEC] счет через третье лицо».