双因素配置错误-账户口令遭暴力破解！威胁情报巨头Mandiant的X账户被接管教训深刻

网络威胁情报巨头Mandiant分享了对其近期X账户劫持事件的调查结果，此前该公司发生了一波与加密货币相关的X账户黑客攻击事件。2024年1月3日，Mandiant的X（以前的Twitter）账户被接管，并开始向其123,5000名关注者发送指向加密货币Drainer钓鱼页面的链接。该公司第二天恢复了其帐户，并在社交媒体上发布了以下帖子：“正如您可能注意到的那样，昨天，Mandiant失去了对这个启用了2FA的X帐户的控制。目前，除了受影响的X帐户之外，没有任何迹象表明存在恶意活动，该帐户已回到我们的控制之下。一旦得出结论，我们将分享我们的调查结果。”1月11日，该公司公布了此次调查的结果，确定此次劫持很可能是由于暴力密码攻击造成的，并且仅限于该公司的主要X帐户 @Mandiant。Mandiant认为，此次攻击是名为“ClinkSink”的大型行动的一部分，该行动采用“Drainer-as-a-Service”(DaaS) 模式来窃取Solana加密货币。1月9日，美国SEC的官方X账户被黑客短暂接管并发布不实消息。接连二三的X账户被黑客控制事件，特别是类似曼迪这种知名安全公司也难逃厄运，再次表明没有人是不可以被攻陷的。

前情回顾

2024 年1月3 日，Google Cloud子公司Mandiant发现其X账户被黑客接管。据信攻击者利用暴力破解方法破解了Mandiant的X账户密码并获得了访问权限。犯罪者掌握控制权后，迅速将该帐户转变为恶意工具，喷出指向巧妙伪装的网络钓鱼网页的链接。

该页面模仿了合法的X登录门户，引诱毫无戒心的用户输入其凭据。输入信息后，用户在不知不觉中被重定向到一个隐藏页面，如果登录，该页面将吸走他们的加密货币资金——一场数字抢劫就在网络安全专家眼皮子底下展开。

1月11日，该公司公布了此次调查的结果，确定此次劫持很可能是由于暴力密码攻击造成的，并且仅限于该公司的主要X帐户@Mandiant。注意，他用的是可能，难道还有别的不为人知的原因？

调查发现“没有证据表明任何Mandiant或Google Cloud系统上存在恶意活动或受到损害，从而导致该帐户受到损害。”

Mandiant指责X的2FA变更

Mandiant在其沟通中指出，其账户的双因素身份验证(2FA)配置错误，该公司对此承担了部分责任，但也将部分责任归咎于X。

“通常情况下，2FA会缓解这种情况，但由于一些团队的过渡以及X的2FA政策的变化，我们没有得到充分的保护。我们已经对流程进行了更改，以确保这种情况不会再次发生，”该公司在社交媒体上发帖称。

尽管网络安全提供商没有具体说明它指的是哪些X更改，但2FA最近成为X Premium订阅者的专有功能。

以前，所有用户都可以启用2FA以提高安全性，但现在，只有那些支付订阅服务费用的用户才能访问此功能的元素。

具体来说，2023年2月，非Twitter Blue用户禁用了2FA的短信/短信方法。身份验证应用程序和安全密钥方法仍然可用。 

这一决定在用户群中引发了相当大的争议，因为2FA被认为是一项重要的安全措施，限制其可用性引发了对潜在漏洞的担忧。

@Mandiant帐户的X上没有黄金复选标记，这可能意味着该公司尚未订阅社交媒体的高级计划。

CLINKSINK Drainer-as-a-Service黑客背后的威胁参与者

Mandiant的调查还显示，这次攻击是一个名为“ClinkSink”的更大规模行动的一部分。该活动采用了“Drainer-as-a-Service”（DaaS）模型，网络犯罪分子可以轻松购买预构建的网络钓鱼套件和工具。ClinkSink专门针对流行区块链平台Solana加密货币的所有者。

Mandiant已使用CLINKSINK加密钱包Drainer识别出与Drainer-as-a-service(DaaS)组相关的35个ID，CLINKSINK 是一种利用智能合约漏洞或用户错误窃取资金的恶意软件。CLINKSINK用户专门针对Solana(SOL)钱包。

这些数字诈骗者使用被劫持的X和Discord帐户来共享以加密货币为主题的网络钓鱼页面，这些页面冒充Phantom、DappRadar和BONK，并带有虚假代币空投主题。

以$PHNTM空投为主题的网络钓鱼页面示例。资料来源：Mandiant

他们利用这些被盗用的帐户，以免费代币的承诺来引诱受害者，部署伪装成流行加密平台的令人信服的网络钓鱼页面。

他们并没有让自己的目标变得更加富有，而是直接将资金转移到自己的口袋里，其中20%归自己所有，其余的则留给了运营排水服务的幕后人物。

Mandiant估计，这一邪恶计划已从毫无戒心的加密货币爱好者那里盗取了至少90万美元。

自2023年12月以来，这35个附属ID一直在使用CLINKSINK在不同的活动中窃取Solana用户的资金和代币。

Mandiant认为，近年来，威胁行为者对针对加密货币用户和服务的兴趣持续高涨，鉴于加密货币价值的整体上涨，预计这一趋势可能会增加。许多排水器（drainer）的广泛可用性和低成本，加上相对较高的利润潜力，可能使它们对许多有经济动机的参与者具有吸引力。鉴于加密货币价值的增加以及排水操作的进入门槛较低，在可预见的未来，出于经济动机的不同复杂程度的威胁行为者将继续进行排水操作（drainer operations）。

一波与加密货币相关的X账户劫持事件

Mandiant是一家著名的网络安全公司，也是Google的子公司具有讽刺意味的是，Mandiant自己的X帐户（以前的Twitter）因暴力攻击而遭到破坏，这突显了即使是防御最严密的系统也始终存在的漏洞。

包括Netgear、Hyundai和Certik在内的几家公司的X社交媒体帐户最近也被威胁行为者劫持并用于加密货币诈骗。

2022年7月3日-周日，英国陆军证实其YouTube和Twitter账户发起黑客攻击，以宣传加密货币诈骗。官方调查已经开始确定这起网络犯罪的事件肇事者，但尚未确认这些攻击的幕后黑手。

1月10日，美国证券交易委员会的X账户@SECGov遭到入侵，并发布了有关比特币交易所交易基金（ETF）在证券交易所获批的虚假公告，导致比特币价格短暂飙升。众议院金融服务委员会的共和党人希望美国证券交易委员会最迟在下周向他们通报该机构社交媒体帐户最近遭到黑客攻击的情况。在周三（10日）致SEC主席加里·詹斯勒(Gary Gensler)的一封信中，立法者指出，X（前身为Twitter）表示，一名黑客使用了与SEC帐户关联的电话号码，并且该联邦机构没有实施双因素身份验证安全功能以帮助防止未经授权的访问。该组织表示：“这种失败是不可接受的，令人不安的是，你们的机构甚至无法达到私营企业所要求的标准。”

X的安全团队后来表示，此次接管是由于在SIM卡交换攻击中与@SECGov帐户相关的电话号码被劫持所致。X还指出，SEC的帐户在遭到黑客攻击时并未启用双因素身份验证(2FA)。

经验教训

虽然Mandiant最终重新控制了其X账户，直接威胁也被消除，但该事件是一次残酷的现实检验，并指出了几个重要的网络安全教训：

没有人是不可攻陷的：即使是最安全的系统也容易受到顽固的攻击者的攻击。

密码卫生至关重要：强大、唯一的口令和强大的双因素身份验证是重要的防御机制。

保持警惕是关键：持续监控和快速响应对于减轻网络攻击造成的损害至关重要。

参考资源：

1.https://www.infosecurity-magazine.com/news/mandiant-x-account-brute-force/

2.https://www.hackread.com/mandiant-x-account-hacked-brute-force-attack-clinksink/

3.https://www.mandiant.com/resources/blog/solana-cryptocurrency-stolen-clinksink-drainer-campaigns

原文来源：网空闲话plus

“

原文始发于微信公众号（CNCERT国家工程研究中心）：双因素配置错误-账户口令遭暴力破解！威胁情报巨头Mandiant的X账户被接管教训深刻