一个复杂的威胁行为者袭击了加密货币交易所Coinbase

一个复杂的威胁行为者对加密货币交易所Coinbase的员工发起了一场钓鱼活动。

据该公司称，2023年  2月 5日，其部分员工收到短信，要求他们使用嵌入式链接紧急登录他们的帐户。大多数员工忽略了这条消息，但该公司透露，一名员工点击了链接并输入提供了他的凭据。“登录”后，系统会提示员工忽略该消息。

由于 Coinbase 支持双因素身份验证 （2FA） 来保护其员工的帐户，因此威胁行为者无法访问该员工的帐户。然而，20分钟后，黑客打电话给假装来自公司IT部门的员工，要求他登录他的工作站。

该员工按照攻击者提供的指示登录了他的工作站。好消息是，Coinbase的安全团队检测到可疑活动，并立即提醒目标员工锁定黑客。

该公司的CSIRT团队立即暂停了目标员工的所有访问权限，并对攻击展开了调查。“幸运的是，没有资金被拿走，也没有访问或查看客户信息，但我们员工的一些有限的联系信息被获取，特别是员工姓名、电子邮件地址和一些电话号码。

Coinbase指出，威胁行为者确实访问了客户数据，并且无法窃取任何资金。

Coinbase收集的证据表明，这次攻击可能是由威胁行为者0ktapus进行的，该行为者是针对至少130个其他组织（包括Twilio和Cloudflare）的攻击的幕后黑手。