Mandiant 的 X 账户遭到暴力破解密码攻击

谷歌旗下的网络威胁情报巨头 Mandiant 分享了其官方 X 账户被劫持事件的调查结果，此前该公司发生了一波与加密货币相关的 X 账户遭遇黑客攻击的事件。

2024 年 1 月 3 日，Google Cloud 子公司 Mandiant 的 X（以前的 Twitter）账户被攻击者接管，之后开始向其 123,5000 名关注者发送指向加密货币 Drainer 钓鱼页面的链接。

该公司第二天恢复了其帐户，并在社交媒体上发布了以下帖子：“正如您可能注意到的那样，昨天，Mandiant 失去了对这个启用了 2FA 的 X 帐户的控制。目前，除了受影响的 X 帐户之外，没有任何迹象表明存在恶意活动，该帐户已回到我们的控制之下。一旦得出结论，我们将分享我们的调查结果。”

1 月 11 日，该公司公布了此次调查的结果，确定此次劫持很可能是由于暴力密码攻击造成的，并且仅限于该公司的主 X 帐户 @Mandiant。

调查发现“没有证据表明任何 Mandiant 或 Google Cloud 系统上存在恶意活动或受到损害，从而导致该帐户受到损害。”

Mandiant 指责：都是 X 的错

Mandiant 在其沟通中指出，其账户的双因素身份验证 (2FA) 配置错误，该公司将部分责任归咎于 X。

“通常情况下，2FA 会缓解这种情况，但由于一些团队的过渡以及 X 2FA 政策的变化，我们没有得到充分的保护。我们已经对流程进行了更改，以确保这种情况不会再次发生。”该公司在社交媒体上发帖称。

尽管网络安全提供商没有具体说明它指的是哪些 X 更改，但 2FA 最近成为 X Premium 订阅者的专有功能。

以前，所有用户都可以启用 2FA 以提高安全性，但现在，只有那些支付订阅服务费用的用户才能访问此功能的元素。

具体来说，2023 年 2 月，非 Twitter Blue 用户禁用了 2FA 的短信/短信方法，身份验证应用程序和安全密钥方法仍然可用。

这一决定在用户群中引发了相当大的争议，因为 2FA 被认为是一项重要的安全措施，限制其可用性引发了对潜在漏洞的担忧。

@Mandiant 帐户的 X 上没有黄金复选标记，这可能意味着该公司尚未订阅社交媒体的高级计划。

事件背后的黑客组织

Mandiant 已使用 CLINKSINK 加密钱包 Drainer 识别出与 Drainer-as-a-service (DaaS) 组相关的 35 个 ID，CLINKSINK 是一种利用智能合约漏洞或用户错误窃取资金的恶意软件。

CLINKSINK 用户专门针对 Solana (SOL) 钱包。

这些数字诈骗者使用被劫持的 X 和 Discord 帐户来共享以加密货币为主题的网络钓鱼页面，这些页面冒充 Phantom、DappRadar 和 BONK，并带有虚假代币主题。

以 $PHNTM 空投为主题的网络钓鱼页面示例，资料来源：Mandiant

他们利用这些被盗用的帐户，以免费代币的承诺来引诱受害者，部署伪装成流行加密平台令人信服的网络钓鱼页面。

他们并没有让自己的目标变得更加富有，而是直接将资金转移到自己的腰包中，其中 20% 归自己所有，其余的则留给了幕后人物。

Mandiant 估计，这一邪恶计划已对毫无戒心的加密货币爱好者造成了至少 90 万美元的损失。

自 2023 年 12 月以来，这 35 个附属 ID 一直在使用 CLINKSINK 在不同的活动中窃取 Solana 用户的资金和代币。

一波与加密货币相关的 X 账户劫持事件

包括 Netgear、Hyundai 和 Certik 在内的几家公司的 X 社交媒体帐户最近也被攻击者劫持并用于加密货币诈骗。

1 月 10 日，美国证券交易委员会的 X 账户@SECGov 遭到入侵，并发布了有关批准比特币交易所交易基金（ETF）在证券交易所上市的虚假公告，导致比特币价格短暂飙升。

X 的安全团队后来表示，此次接管是由于在 SIM 卡交换攻击中与 @SECGov 帐户相关的电话号码被劫持所致。X 还指出，SEC 的帐户在遭到黑客攻击时并未启用双因素身份验证 (2FA)。

参考链接：https://www.infosecurity-magazine.com/news/mandiant-x-account-brute-force/