Mandiant'ın Twitter Hesabı Altı Saatlik Kripto Dolandırıcılığı Saldırısının Ardından Geri Yüklendi

05.01.2024

Siber güvenlik firması Mandiant, Google Cloud'un bir yan kuruluşu olan ve X (önceki adıyla Twitter) hesabında altı saati aşan bir güvenlik ihlali yaşadı. Kimliği belirsiz bir saldırgan, hesabı bir kripto para dolandırıcılığı yapmak için ele geçirdi. Saldırının yöntemi net değil, ancak ilk adımlar Mandiant hesabını "@phantomsolw" olarak yeniden adlandırmayı içeriyordu ve bu, Phantom kripto cüzdan hizmetini taklit etmek içindi. MalwareHunterTeam ve vx-underground, olayı bildiren sahtekar yayınları ortaya çıkararak, kullanıcıları sahte bir airdrop planı ile cezbettiler ve ücretsiz jetonlar için sahte bir bağlantıya tıklamaya yönlendirdiler. Ardından gelen mesajlarda Mandiant'a "lütfen şifreyi değiştir" ve "hesabı geri alınca yer imlerini kontrol edin" deniliyordu.

Mandiant, tehdit istihbaratındaki uzmanlığıyla bilinen bir şirket olup, Mart 2022'de Google tarafından 5.4 milyar dolar karşılığında satın alındı ve şu anda Google Cloud'a entegre edilmiştir. SocialProof Security'nin CEO'su Rachel Tobac, Twitter hesabının ele geçirilmesinin Twitter destek içinde bir tehlike olasılığı dahil olmak üzere çeşitli yollarını vurguladı.

Soruşturmalara yanıt olarak, bir Mandiant sözcüsü, olayın farkında olduklarını ve ele geçirilen X hesabını başarıyla kontrol altına aldıklarını bildirdi.

Bu olay, CloudSEK'in ortaya koyduğu gibi, siber suçluların X'teki doğrulanmış Gold hesaplarını ele geçirmek için kaba kuvvet taktikleri kullandığına dair bir açıklamayla çakışıyor. Bu hesaplar, DarkWeb üzerinden 2.000 dolara kadar satılmaktadır. Ayrıca, tehdit aktörleri, meşru organizasyonlara bağlı pasif hesapları Gold seviyesine yükseltmek için uğraşıyorlar. Ele geçirilen hesaplar daha sonra kötü niyetli bağlantıları yaymak, takipçileri rastgele kripto para ile ilgili kanallara katılmaya teşvik etmek ve spam yaymak için kullanılıyor.

Güvenlik araştırmacısı Rishika Desai, bilgi çalan kötü amaçlı yazılımların kullanıldığı merkezi botnet ağını vurgulayarak, enfekte cihazlardan elde edilen kimlik bilgilerinin, alıcıların tercihlerine göre doğrulandığını, bunların arasında bireysel veya kurumsal hesaplar, takipçi sayısı ve bölgesel belirginlik gibi faktörlerin bulunduğunu belirtti.