2020年7月15日,正在利用一些经过验证的,备受瞩目的加密货币Twitter帐户将用户发送到网络钓鱼网站。随后,妥协了多个高知名验证的用户 - 包括比尔·盖茨,埃隆·马斯克和巴拉克·奥巴马 - 开始发布推文,要求将钱发送到比特币钱包地址(BC1QXY2KGDYGJRSQTZQ2N0YRF2N0YRF2493P83P83KKFJHX0WLH),并将被送回去。总而言之,超过100,000美元被发送到其中最成功的骗局之一中提到的地址。后来,Cybersecurity Firmiq发布了近400个域名,通过它们与最初提到的网络钓鱼域相关的页面相似性。在这些领域和原始推文之间,Domaintools安全研究团队同时使用IRIS调查平台和Osint来源来了解这些骗局背后的基础设施,趋势和财务状况。
遵循历史
该数据集中最早的域是在2018年注册的。许多域聚类围绕特定的电子邮件地址,TLS证书和其他注册详细信息。随着托管提供商,注册服务商和基础架构指纹在所有这些领域背后的传播,我们可以高度信心地说,该数据集中的域中的域属于多个骗局和可能的多个参与者。
扩展与这些域名注册数据相关的历史电子邮件地址,我们可以将列表扩展到不到600个域和群集开始出现。
与电子邮件地址相关的一个早期集群(olegolegoleg1@bk [。] ru)伴有较老的CS:GO(一种受欢迎的FPS游戏)集装箱键转售骗局,该转售是CS:GO:GO,在2019年残疾的公司,这是大多数人乐动体育官网下载他们看到的交通是在游戏中洗钱。
另一个集群将其背后的演员与在2019年离线脱离的几个已知的块状网络钓鱼领域联系在一起。
虽然另一个集群将82个领域链接到了这些精确的比特币骗局中的近两年,以利用Elon Musk和Tesla诱饵。
随着这些骗局的普遍性和易感性,毫不奇怪的是,有数十个可能的独立参与者和这些针对加密货币的低悬挂果实骗局的历史。
遵循命名模式
在运行了通过基于概率的单词分离器发布的域名列表之后,我们可以弄清楚注册这些域的人使用了哪些单词。以下是数据集中的单词列表,按使用频率排序。
| 共同案件 | 58 |
| BTC | 57 |
| binance | 43 |
| 给 | 29 |
| 促销 | 28 |
| 大门 | 28 |
| McAfee | 27 |
| 埃隆必须 | 25 |
| Linux | 21 |
| 加密 | 20 |
| 硬币) | 18 |
| 必须 | 16 |
| 滴(S) | 15 |
| 空间 | 12 |
| Pro | 11 |
| 少量 | 10 |
| 奖金 | 10 |
| 事件 | 10 |
| 礼物 | 10 |
| 账单 | 9 |
| 送 | 9 |
| 特斯拉 | 9 |
| eth | 7 |
| 圣诞节 | 6 |
| 自由的 | 6 |
| XRP | 6 |
| 双子座 | 5 |
| 参加 | 5 |
| 推特 | 5 |
| 空投 | 4 |
| 苹果 | 4 |
| 四月 | 4 |
| 贝佐斯 | 4 |
| 得到 | 4 |
| 给予 | 4 |
| 加入 | 4 |
| 当下 | 4 |
| 奖 | 4 |
| 晋升 | 4 |
| 沃兹 | 3 |
| BCH | 3 |
| 帮助 | 3 |
| 现在 | 3 |
| 概率 | 3 |
| 垃圾桶 | 2 |
| 布拉德 | 2 |
| 活动 | 2 |
| comp | 2 |
| 交易 | 2 |
| 盛会 | 2 |
| 一个 | 2 |
| 力量 | 2 |
| 资金 | 2 |
| 给予 | 2 |
| 居住 | 2 |
| 市场 | 2 |
| 罗伯特 | 2 |
| 开始 | 2 |
| 极好的 | 2 |
| 今天 | 2 |
| 令牌 | 2 |
| 最佳 | 2 |
| 沃尔玛 | 2 |
| 赢 | 2 |
| 圣诞节 | 2 |
当浏览此列表时,有显然彼此相关的术语
- Apple相关:Airdrop(4),Woz(3),Apple(4)
- 比尔·盖茨:比尔(9),盖茨(28)
- 埃隆·马斯克(Elon Musk):埃隆(25),马斯克(16),特斯拉(9),太空(12),x(17)
我决定选择最受欢迎但不太明显的单词之一,以调查更深入的研究。McAfee发生了27次。理论是,基于单个术语注册多个域的人将使用一些相同的注册/基础架构模式。
McAfee域模式
大多数MCAFEE域通过“ Regprivate.ru”或“ reg.ru”匿名注册。
许多未通过俄罗斯注册商注册的领域,有俄罗斯的声音:Vyach Kapustin,Igor Smirnov,John Vladimir(John发现了5个域名)
一位注册人Masis069 Arutunyan链接到域Binance-cryptovaganza.org,这不是McAfee域名的一部分。但是,命名模式类似于风险数据集中的其他域。“ Binance”发生了52次,“ Ganza”发生了4次。因此,将所有“ Ganza”域在“ McAfee”域名列表中包括在内。
使用注册人Masis069 Arutunyan,以及术语“ McAfee”和“ Ganza”来扩展域名,另一个名称浮出水面;“ John Vladimir”,与风险数据集中的3个域相关联。
McAfee域中的另一个强大模式是注册商Hostinger。回顾风险域的完整列表,主机注册的大多数人在260天和360天前注册。
27个MCAFEE域中的13个具有配置自己的邮件服务器。
这项对MCAFEE域的调查从彼此高度相关的风险数据集中汇集了大约40个域。
然后,我进入“ Elon Musk”相关领域,并能够找到一组彼此高度相关的域。但是有趣的是,McAfee域集与Elon Musk域的注册或基础设施模式没有连接。
跟随钱
潜入与Twitter妥协相关的已知相关比特币钱包地址,让我们建立一个基准进行调查。
| 钱包地址 | 交易数量 | 总余额 |
|---|---|---|
| 38qyalcxsnfzafftnt46xhmtn3gcgankxc | 0 | 0 |
| BC1Q0KZNUXZK6D82E27P7GPLWL68ZKV40SWYY4D24X | 15 | $ 1,622.60 |
| BC1QXY2KGDYGJRSQTZQ2N0YRF2493P83KKFJHX0WLH | 390 | $ 117,200.70 |
在调查最多交易(390)和总余额超过11.7万美元的比特币钱包中,让我们研究发生的任何有趣的交易。Walletexplorer.com帮助我们强调了这些钱包交易,特别是观察到了多少比特币,转移了多少比特币以及哪个钱包。
我们可以看到多个值到多个钱包的总共4个比特币转移交易。
这些转移的时间戳全部发生在同一时间窗口内,通常是2020年7月15日至2020年7月15日21:29。那是大约17分钟。
交易背后的一种可能的理论是,他们从攻击者的角度还清了与事件相关的人。这种攻击可能不是一个人进行的。可能有一个初始威胁团体损害了Twitter,然后将访问权限出售给另一个竞标者,该竞标者利用了该访问权限进行加密货币骗局。有一些理论,即在向攻击者提供内部访问系统/工具的内部访问中涉及内部威胁,这可能是对此收到的付款的可能文件。网络犯罪分子很少只是一个威胁性演员,而且这次攻击背后有几种跑步理论。
| 相关的TX比特币钱包,bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh |
|---|
| 1AI52UW6USJHPCDRWSMKUVJUQLPCZNUUYF |
| BC1QS0TGLR6GFC90Q7NGW4YYNVL2CMYVLHDQEHWY4F |
| BC1QDC2H3FXMHYSHE70PDGXCHYSXSCWQHU2QSE6FKY |
| BC1QAS2RVPEJPVNCD6Z5HCSCVW52N4WXW5TH2DE67V |
| 3CHJURNXE6EJRGVF3HZ4HW4REGSRKKCEN5 |
| 32XPZGC8FRFDFBVJ4OCFAEHE7DPKN8R5SA |
| 3BOE6NHFYWXZAZWTIHDE8S7BHHKHMQHWM3 |
BC1Q8AHUM0GZW7DQMTYYY63FDQKHD8AYNYLLPUXHCZ |
| 3DA2BABKUHP74PKITFZAOFNNPH38TQWQ |
这笔钱的移动很快,我们可以看到,从原始钱包到其他相关钱包中,与Twitter攻击背后的威胁组相关的其他相关钱包。
我们已经发现了对Twitter及其用户的多产攻击,还发现了更多的IOC和见解。敬请期待进一步的信息。