Het X-account (voorheen Twitter) van het Amerikaanse cyberbeveiligingsbedrijf en Google Cloud-dochter Mandiant werd meer dan zes uur lang gecompromitteerd door een onbekende aanvaller om een cryptocurrency-zwendel te verspreiden.
Op het moment van schrijven is de account is hersteld op het sociale mediaplatform.
Het is momenteel niet duidelijk hoe het account is gehackt. Maar het gehackte Mandiant-account werd aanvankelijk hernoemd naar “@phantomsolw” om zich voor te doen als de Phantom-cryptoportemonneeservice. MalwareHunterTeam En vx-ondergronds.
In het bijzonder maakten de zwendelposts van het account reclame voor een airdrop-zwendel die gebruikers aanspoorde op een valse link te klikken en gratis tokens te verdienen, met vervolgberichten waarin Mandiant werd gevraagd “wachtwoord te wijzigen alstublieft” en “bladwijzers te controleren wanneer u uw account terugkrijgt”.
Mandiant, een toonaangevend bedrijf voor informatie over bedreigingen, werd in maart 2022 door Google overgenomen voor $ 5,4 miljard. Het maakt nu deel uit van Google Cloud.
“De overname van het Mandiant Twitter-account had kunnen gebeuren [in] op een aantal manieren”, zei Rachel Tobac, CEO van SocialProof Security, op X.
“Sommige mensen geven het advies om MFA in te schakelen om ATO te voorkomen en dat is natuurlijk altijd een goed idee *maar het is ook mogelijk dat iemand van de ondersteuning bij Twitter is omgekocht of gecompromitteerd waardoor de aanvaller toegang kreeg tot het account van Mandiant*.”
Toen hij voor commentaar werd benaderd, vertelde een woordvoerder van Mandiant aan The Hacker News dat het op de hoogte was van het incident dat gevolgen had voor het X-account en dat het de controle over het account had herwonnen.
De ontwikkeling komt op het moment dat CloudSEK onthulde dat cybercriminelen op brute wijze geverifieerde Gold-accounts op X kapen en deze op het dark web verkopen voor maximaal $ 2.000 per account. Bovendien is waargenomen dat bedreigingsactoren zich richten op slapende accounts die verband houden met legitieme organisaties om deze te upgraden naar het Gold-niveau.
De gecompromitteerde accounts worden vervolgens gebruikt om links naar kwaadaardige domeinen te plaatsen, hun volgers aan te sporen zich aan te sluiten bij willekeurige kanalen op basis van cryptocurrency, en spam te verspreiden.
“Informatiesteler-malware heeft een gecentraliseerd botnetnetwerk, waar inloggegevens van geïnfecteerde apparaten worden verzameld”, zegt beveiligingsonderzoeker Rishika Desai. “Deze inloggegevens worden vervolgens verder gevalideerd op basis van de vereisten van kopers, zoals individuele of zakelijke accounts, aantal volgers, regiospecifieke accounts, enz.”
(Het verhaal is na publicatie bijgewerkt met een reactie van Mandiant.)
