Coinbase Cartel

Überblick

CoinbaseCartel ist eine auf Datenbeschaffung spezialisierte Gruppierung, die sich Zugang über kompromittierte Systeme und über strategische Partnerschaften verschafft. Nach eigener Darstellung richten sich die Operationen ausschließlich auf den Abfluss von Daten; eine Verschlüsselung von Systemen oder eine gezielte Störung des Betriebs gehört nicht zum erklärten Vorgehen. Im Mittelpunkt steht damit nicht die Lahmlegung der Infrastruktur, sondern das unbemerkte Erlangen und Herausschleusen sensibler Informationen. Die Gruppe setzt dabei auf den Diebstahl gültiger Zugangsdaten und auf das Ausnutzen vorhandener Vertrauensbeziehungen, etwa zu Dienstleistern und Drittparteien, um in die Zielumgebung zu gelangen. Charakteristisch ist die klare Ausrichtung auf Exfiltration als Selbstzweck: Der erlangte Datenbestand bildet die Grundlage für anschließende Erpressung. Betroffen sind Einrichtungen unterschiedlicher Branchen, deren Cloud- und SaaS-Umgebungen ins Visier geraten. Die Verbindung aus technischem Zugriff und sozialer Manipulation kennzeichnet das Profil dieser Gruppierung.

Taktiken & Vorgehen

Der Erstzugang erfolgt schwerpunktmäßig über gestohlene Zugangsdaten zu Cloud- und SaaS-Diensten wie „Salesforce“ und „Microsoft 365“ sowie über den Missbrauch von VPN- und RDP-Zugängen, deren Zugangsdaten von Infostealern stammen oder bei Initial Access Brokern eingekauft werden. Per Spearphishing über Sprachanrufe (Vishing) werden Beschäftigte dazu gebracht, schädliche OAuth-Anwendungen zu autorisieren. Zur Persistenz fügt die Gruppe bestehenden OAuth-Anwendungen zusätzliche Schlüssel hinzu und legt „Geister“-Administratorkonten auf VMware-Hosts an. Auf ESXi-Systemen wird der Loader „shinysp1d3r“ über Unix-Shell-Skripte ausgeführt, ergänzt durch Python-Skripte, die legitime Werkzeuge wie den „Salesforce Data Loader“ nachahmen. Erkennung wird durch Umbenennen von Binärdateien auf VMware-Prozessnamen und durch das Löschen von Syslogs und Audit-Protokollen erschwert. Nach Erkundung von Active Directory, vCenter-Datastores und AWS/Azure-Konsolen werden Daten mittels „Rclone“ zu Cloud-Speichern abgezogen; eine Verschlüsselung von „.vmdk“-Dateien dient nur als Sekundärtechnik.

Schutzmaßnahmen

Cloud- und SaaS-Konten sollten durch Mehr-Faktor-Authentisierung abgesichert und auf den Diebstahl gültiger Zugangsdaten überwacht werden. Die Autorisierung von OAuth-Anwendungen sollte streng kontrolliert und auf nachträglich hinzugefügte Schlüssel oder Secrets überprüft werden. Fernzugänge über VPN und RDP sollten gehärtet und durch Mehr-Faktor-Authentisierung geschützt werden. Beschäftigte sollten gezielt für telefonische Manipulation (Vishing) sensibilisiert werden. ESXi- und vCenter-Umgebungen sollten überwacht, neu angelegte lokale Administratorkonten erkannt und die Integrität von Syslogs und Audit-Protokollen gegen Manipulation gesichert werden. Active-Directory-Abfragen sowie ausgehende Datenübertragungen zu externen Cloud-Speichern sollten überwacht werden, um den Einsatz von Werkzeugen wie „Rclone“ frühzeitig zu erkennen.