Mandiant’ın X (eski adıyla Twitter) hesabının geçen hafta ele geçirilmesi, büyük olasılıkla, saldırının bir hizmet olarak filtreleyici (DaaS) grubuna atfedildiği “kaba kuvvet şifre saldırısı”nın sonucuydu.
“Normalde, [two-factor authentication] Tehdit istihbarat firması, bunu hafifletebilirdi ancak bazı ekip geçişleri ve X’in 2FA politikasındaki değişiklik nedeniyle yeterince korunamadık.” söz konusu X’te paylaşılan bir gönderide.
3 Ocak 2023’te gerçekleştirilen saldırı, tehdit aktörünün şirketin X hesabının kontrolünü ele geçirmesine ve CLINKSINK olarak takip edilen bir kripto para avcılığını barındıran bir kimlik avı sayfasına bağlantılar dağıtmasına olanak sağladı.
Süzgeçler, işlemleri onaylamaları için kandırıldıktan sonra mağdurun cüzdanlarından dijital varlıkların çalınmasını kolaylaştıran kötü niyetli komut dosyalarına ve akıllı sözleşmelere atıfta bulunuyor.
Google’ın sahibi olduğu yan kuruluşa göre, birden fazla tehdit aktörünün Aralık 2023’ten bu yana Solana (SOL) kripto para birimi kullanıcılarından fon ve token almak için CLINKSINK’ten yararlandığına inanılıyor.
Angel Drainer ve Inferno Drainer gibi diğer sızdırıcıların durumunda gözlemlendiği gibi, DaaS operatörleri, bağlı kuruluşlara, çalınan varlıkların kesintisi (genellikle %20) karşılığında saldırıları gerçekleştirmeleri için bağlanıyor.
Tanımlanan faaliyet kümesi, en az 35 bağlı kuruluş kimliğini ve 42 benzersiz Solana cüzdan adresini içeriyor ve aktörlerin toplamda 900.000 dolardan az olmamak üzere yasa dışı kâr elde etmesini sağlıyor.
Saldırı zincirleri, hedefleri sahte bir jeton airdropu talep etmek için cüzdanlarını bağlamaya teşvik eden kripto para birimi temalı kimlik avı sayfalarını dağıtmak için X ve Discord gibi sosyal medya ve sohbet uygulamalarının kullanımını içeriyor.
Güvenlik araştırmacıları Zach Riddle, Joe Dobson, Lukasz Lamparski ve Stephen Eckels, “Cüzdanlarını bağladıktan sonra kurbandan, drenaj hizmetine bir işlem imzalaması isteniyor, bu da kurbandan para çekmesine olanak tanıyor.” dedi.
Bir JavaScript boşaltıcısı olan CLINKSINK, hedeflenen cüzdanlara bir yol açmak, cüzdandaki mevcut bakiyeyi kontrol etmek ve sonuçta kurbandan sahte bir işlem imzalamasını isteyerek hırsızlığı ortadan kaldırmak için tasarlanmıştır. Bu aynı zamanda mağdurun işlemi reddetmesi durumunda hırsızlık girişiminin başarılı olmayacağı anlamına da gelir.
Drainer’ın ayrıca Chick Drainer (veya Rainbow Drainer) dahil olmak üzere birçok çeşidi ortaya çıkarması, kaynak kodunun birden fazla tehdit aktörü tarafından kullanılabilir olması olasılığını artırarak, bağımsız boşaltma kampanyaları düzenlemelerine olanak tanıyor.
Mandiant, “Birçok drenaj cihazının geniş bulunabilirliği ve düşük maliyeti, göreceli olarak yüksek kar potansiyeli ile birleştiğinde, muhtemelen bunları finansal motivasyona sahip birçok aktör için cazip operasyonlar haline getiriyor” dedi.
“Kripto para birimi değerlerindeki artış ve boşaltma operasyonlarına giriş engelinin düşük olması göz önüne alındığında, farklı seviyelerde karmaşıklığa sahip finansal motivasyona sahip tehdit aktörlerinin öngörülebilir gelecekte drenaj operasyonları yürütmeye devam edeceğini tahmin ediyoruz.”
Bu gelişme, kripto para birimi dolandırıcılığını yaymak amacıyla meşru X hesaplarını hedef alan saldırıların arttığı bir dönemde gerçekleşti.
Bu haftanın başlarında ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ile ilişkili X hesabı açıklandı. ihlal edildi Yanlışlıkla düzenleyici kurumun “spot bitcoin borsada işlem gören ürünlerin listelenmesi ve ticaretini” onayladığını iddia etmek, bitcoin fiyatlarının kısa süreliğine yükselmesine neden oldu.
X o zamandan beri açıklığa kavuşmuş Saldırı, “tanımlanamayan bir kişinin üçüncü bir taraf aracılığıyla @SECGov hesabıyla ilişkili bir telefon numarasının kontrolünü ele geçirmesinin” sonucuydu ve hesapta iki faktörlü kimlik doğrulama etkin değildi.