聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
今年1月份,Mandiant (Google Cloud的组成部分)的X 账号遭劫持并滥用于推广一个虚假网站的链接。该网站声称与合法的 Phantom 密币钱包存在关联。
Mandiant 公司开展调查显示,该账号很可能是因“暴力密码攻击”引发的,并表示该事件仅影响这一个账号。同时该公司提到,并未有证据表明Mandiant 或 Google Cloud 系统因此而受陷。
Mandiant 公司解释称,“一般而言,双因素认证 (2FA) 机制已缓解该问题,但由于某些团队过渡和X的2FA策略变更,我们未受到妥善保护。我们已变更流程,确保类似事件不再发生。”
Mandiant 公司还在博客文章中详述了这起攻击详情。该攻击活动被称为 “ClinkSink”,涉及多名威胁行动者利用所谓的“drianer即服务 (DaaS)”从 Solana 密币盗取资金和令牌。
在 ClinkSink 活动中,网络犯罪分子利用 X 和 Discord 等应用程序将链接分发到与合法密币资源如 Bonk、DappRadar 和 Phantom 等关联的钓鱼页面。这些钓鱼页面声称通过隔空投送的方式发放密币令牌,实际上托管者恶意 JavaScript 代码,意图清空受害者的密币钱包。
Mandiant 公司解释称,“当受害者访问其中一个钓鱼页面时,他们被诱骗连接自己的钱包来索取隔空投送的令牌。连接钱包后,受害者收到提示将交易签名到drainer 服务,从而能够从受害者处嗅探资金。”
研究人员找到了与这一活动相关联的35个不同的关联 ID 和42个 Solana 钱包地址。分析显示,操纵人员和会员至少牟利90万美元,其中约80%的资金落到会员手中,余下的被操纵者拿走。
Mandiant 公司提到,“Mandiant 找到多个品牌不一的 DaaS 服务,它们似乎使用 ClinkSink drainer 或其变体,包括‘Chick Drainer’在内,后者当前至少作为‘Rainbow Drainer’的一部分运作。虽然这些变体是由一个普通的威胁行动者操纵的看法是合理的,但有一些证据表明,多个威胁行动者拥有 ClinkSink 的源代码,这就导致可能会有不相关的威胁行动者开展独立的清空行动以及/或DaaS 行动。”
Mandiant 并非唯一一个X账号近期被密币攻击活动入侵的高级别实体。其它受害者还包括美国证券交易所、区块链安全公司 CertiK、加密价格平台 CoinGecko、加拿大议员 Amina Gerba、网件以及现代公司等。
Google Cloud Build 漏洞可使黑客发动供应链攻击
研究员发现 Google Cloud 项目中的 SSRF 漏洞,获1万美元奖金
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~