今年1月份，Mandiant （Google Cloud的组成部分）的X 账号遭劫持并滥用于推广一个虚假网站的链接。该网站声称与合法的 Phantom 密币钱包存在关联。

Mandiant 公司开展调查显示，该账号很可能是因“暴力密码攻击”引发的，并表示该事件仅影响这一个账号。同时该公司提到，并未有证据表明Mandiant 或 Google Cloud 系统因此而受陷。

Mandiant 公司解释称，“一般而言，双因素认证 (2FA) 机制已缓解该问题，但由于某些团队过渡和X的2FA策略变更，我们未受到妥善保护。我们已变更流程，确保类似事件不再发生。”

Mandiant 公司还在博客文章中详述了这起攻击详情。该攻击活动被称为 “ClinkSink”，涉及多名威胁行动者利用所谓的“drianer即服务 (DaaS)”从 Solana 密币盗取资金和令牌。

在 ClinkSink 活动中，网络犯罪分子利用 X 和 Discord 等应用程序将链接分发到与合法密币资源如 Bonk、DappRadar 和 Phantom 等关联的钓鱼页面。这些钓鱼页面声称通过隔空投送的方式发放密币令牌，实际上托管者恶意 JavaScript 代码，意图清空受害者的密币钱包。

Mandiant 公司解释称，“当受害者访问其中一个钓鱼页面时，他们被诱骗连接自己的钱包来索取隔空投送的令牌。连接钱包后，受害者收到提示将交易签名到drainer 服务，从而能够从受害者处嗅探资金。”

研究人员找到了与这一活动相关联的35个不同的关联 ID 和42个 Solana 钱包地址。分析显示，操纵人员和会员至少牟利90万美元，其中约80%的资金落到会员手中，余下的被操纵者拿走。

Mandiant 公司提到，“Mandiant 找到多个品牌不一的 DaaS 服务，它们似乎使用 ClinkSink drainer 或其变体，包括‘Chick Drainer’在内，后者当前至少作为‘Rainbow Drainer’的一部分运作。虽然这些变体是由一个普通的威胁行动者操纵的看法是合理的，但有一些证据表明，多个威胁行动者拥有 ClinkSink 的源代码，这就导致可能会有不相关的威胁行动者开展独立的清空行动以及/或DaaS 行动。”

Mandiant 并非唯一一个X账号近期被密币攻击活动入侵的高级别实体。其它受害者还包括美国证券交易所、区块链安全公司 CertiK、加密价格平台 CoinGecko、加拿大议员 Amina Gerba、网件以及现代公司等。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~