内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心

2020年7月15日,多位美国名人政要的推特账户遭黑客入侵,发布诈骗话术和比特币地址,而有的针对区块链账号的则发布了钓鱼网站。

据统计账号遭黑客入侵的人士包括美国前总统奥巴马、民主党总统候选人拜登、微软公司创始人比尔·盖茨、亚马逊公司创始人杰夫·贝佐斯、金融大亨沃伦·巴菲特、特斯拉CEO埃隆·马斯克、纽约市前市长迈克尔·布隆伯格、歌手坎耶·韦斯特、美国社交名媛金·卡戴珊等。

图片[1]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

美国前总统奥巴马

 图片[2]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

民主党总统候选人拜登

图片[3]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

特斯拉和SpaceX创始人埃隆·马斯克

 

比较特殊的一个案例中,攻击者还使用了SamSheffer的账号发了问号,然后用马斯克的账号回复了他。

 图片[4]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

推特官方表示正在对此事进行调查,推特的部分功能将受限,推特认证账号将无法发布推文或者重置密码。

 图片[5]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

 

攻击手法分析

 

攻击手法有两种,一种是直接发布比特币地址,要求转账,话术基本为充多少钱返回多少多少钱的套路,如:我们已决定回馈社区,所有发送到我们地址的比特币将返回一倍!

 图片[6]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

第二种是发布钓鱼链接,该链接里面内嵌了攻击者的BTC地址,同样也是充多少返多少的套路。这类攻击的目标均为比特币交易所或比特币大V,如@bitcoin,@ripple,@coindesk,@ coinbase  和@binance,话术均为 “我们已与CryptoForHealth合作,并向社区返还了5000 BTC,”其后是钓鱼链接。

 图片[7]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

钓鱼网站网站标题为COVID 19 GIVEAWAY(礼物)

界面如下所示,中文翻译:

我们相信区块链和比特币将使世界更加公平和开放。 当前的金融体系已经过时,COVID-19对传统经济造成了严重破坏,以帮助他们渡过难关。对于COVID19,Huobi,Kucoin,Kraken,Gemini,Binance,Coinbase和Trezor携手回馈社区,我们决定使用5000 BTC赠品。

 

要参加,您只需将〜0.1 BTC发送到20 BTC到捐款地址,我们会立即将您退回0.2 BTC到40 BTC到您的账户。

 图片[8]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

图片[9]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

代码如下

 图片[10]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

此外,代码显示,只要在界面进行复制操作,都会显示需要转账的比特币地址。

 

为了彰显真实感,攻击者还伪造了多起交易记录,证明已经有人转账。

 图片[11]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

但实际上,也确实有人转账,截止目前,查看攻击者比特币账户,目前已经收益12BTC,约合人民 币77万,目前已经通过多个比特币地址几乎全部转出。

图片[12]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

比特币地址接力式转账

 图片[13]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

攻击资产分析

 

整起攻击事件都可以看出,攻击者为此事做的大量准备,包括所有网络资产均为2020年7月15日当天注册,可谓是做好了”破釜沉舟,背水一战”。

域名资产cryptoforhealth.com由NameSilo域名提供商注册,采取了加密货币相关域名。该注册商称发现诈骗后第一时间将该域名下线。

 图片[14]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

 

IP网络资产均在7月15日当日解析到该域名,且多次更换,使用的均为CloudFlare网络节点。

172.64.200.24

172.64.201.24

104.27.163.136       

172.67.192.34

104.27.162.136       

104.31.239.10

104.31.238.10

追踪难度较大。

目前该网站已经下线,为防止攻击者后续会使用该攻击资产进行下一步攻击,奇安信威胁情报中心已经将该钓鱼网站以及攻击者的网络资产加入威胁情报库

 图片[15]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

ti.qianxin.com

 

内鬼作案

 

有消息人士称,这些帐户是使用Twitter的内部工具接管的,该工具的屏幕截图在黑客社区。

 图片[16]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

屏幕截图之一显示面板和Binance帐户,Binance是这起事件中被黑客接管的帐户之一。从屏幕截屏可见,至少有一些帐户似乎已通过使用该工具更改与它们相关联的电子邮件地址而被盗用。

 图片[17]-内鬼作案?Twitter账户被大规模入侵事件分析 – 作者:奇安信威胁情报中心-安全小百科

目前推特方面称,该公司仍在调查该员工是否自己劫持了帐户或让黑客访问了他们的内部账号管理工具。目前安全研究人员发现,攻击者已完全控制了受害者的帐户,并且还更改了与该帐户关联的电子邮件地址,以使真实用户更难重新获得访问权限。

总结

转账比特币可以翻倍赚钱的骗局一直都存在,并且也一直在推特流传,甚至此前还有伪造名人的推特账号从而进行诈骗的案子。但根据本次攻击者的攻击手段而言,如此大规模劫持名人的真实账号进行发布,尤其是连比特币这种官方大号都发布钓鱼网站的情况下,对于想投机赚钱的,且刚好拥有BTC地址的粉丝,诱惑力极大,从仅仅半小时就筹集了12个BTC便可以看出其威力。

因此,奇安信威胁情报中心友情提醒,天下没有白吃的午餐,遇到需要付钱转账,尤其是需要比特币转账的时候务必要谨慎,防止上当受骗。

 

来源:freebuf.com 2020-07-16 15:28:25 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论