General Bytes cho biết: Kẻ tấn công có thể đã tải lên ứng dụng Java từ xa thông qua giao diện dịch vụ chính bằng các thiết bị đầu cuối và chạy bằng quyền hạn của người dùng "batm".
Kẻ tấn công đã quét không gian địa chỉ IP lưu trữ đám mây Digital Ocean và xác định các dịch vụ Crypto Application Server (CAS) đang chạy trên cổng 7741, bao gồm dịch vụ General Bytes Cloud và các nhà điều hành máy ATM GB khác đang chạy máy chủ của mình trên Digital Ocean.
General Bytes cho rằng máy chủ mà ứng dụng Java độc hại tải lên được cấu hình mặc định tự khởi động các ứng dụng có mặt trong thư mục deployment ("/ batm / app / admin / standalone / deployments /").
Khi đó, cho phép kẻ tấn công truy cập vào cơ sở dữ liệu, đọc và giải mã các khóa API được sử dụng để truy cập quỹ trong các ví nóng và sàn giao dịch, gửi tiền từ các ví, tải xuống tên người dùng, băm mật khẩu và tắt xác thực hai yếu tố (2FA) thậm chí truy cập các nhật ký sự kiện của terminal.
Ngoài việc kêu gọi khách hàng bảo vệ các máy chủ ứng dụng tiền điện tử (CAS) của mình bằng tường lửa và VPN, công ty cũng khuyến cáo người dùng nên xoay vòng tất cả các mật khẩu và khóa API trên các sàn giao dịch và ví nóng.
General Bytes không tiết lộ chính xác số tiền bị tin tặc đánh cắp, nhưng một phân tích về ví tiền điện tử được sử dụng trong cuộc tấn công cho thấy ví này đã nhận 56,283 BTC (1.5 triệu USD), 21,823 ETH (36.500 USD) và 1.219,183 LTC (96.500 USD).
Đây là vụ tấn công thứ hai nhắm vào General Bytes trong vòng chưa đầy một năm, lần gần nhất cũng là do một lỗ hổng zero-day khác trong các máy chủ ATM bị khai thác để đánh cắp tiền điện tử từ khách hàng từ tháng 8/2022.
Thu Hà (Theo The Hacker News)
09:00 | 22/02/2022
14:00 | 29/11/2021
09:00 | 13/04/2023
09:00 | 15/10/2021
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024