General Bytes cho biết: Kẻ tấn công có thể đã tải lên ứng dụng Java từ xa thông qua giao diện dịch vụ chính bằng các thiết bị đầu cuối và chạy bằng quyền hạn của người dùng "batm".
Kẻ tấn công đã quét không gian địa chỉ IP lưu trữ đám mây Digital Ocean và xác định các dịch vụ Crypto Application Server (CAS) đang chạy trên cổng 7741, bao gồm dịch vụ General Bytes Cloud và các nhà điều hành máy ATM GB khác đang chạy máy chủ của mình trên Digital Ocean.
General Bytes cho rằng máy chủ mà ứng dụng Java độc hại tải lên được cấu hình mặc định tự khởi động các ứng dụng có mặt trong thư mục deployment ("/ batm / app / admin / standalone / deployments /").
Khi đó, cho phép kẻ tấn công truy cập vào cơ sở dữ liệu, đọc và giải mã các khóa API được sử dụng để truy cập quỹ trong các ví nóng và sàn giao dịch, gửi tiền từ các ví, tải xuống tên người dùng, băm mật khẩu và tắt xác thực hai yếu tố (2FA) thậm chí truy cập các nhật ký sự kiện của terminal.
Ngoài việc kêu gọi khách hàng bảo vệ các máy chủ ứng dụng tiền điện tử (CAS) của mình bằng tường lửa và VPN, công ty cũng khuyến cáo người dùng nên xoay vòng tất cả các mật khẩu và khóa API trên các sàn giao dịch và ví nóng.
General Bytes không tiết lộ chính xác số tiền bị tin tặc đánh cắp, nhưng một phân tích về ví tiền điện tử được sử dụng trong cuộc tấn công cho thấy ví này đã nhận 56,283 BTC (1.5 triệu USD), 21,823 ETH (36.500 USD) và 1.219,183 LTC (96.500 USD).
Đây là vụ tấn công thứ hai nhắm vào General Bytes trong vòng chưa đầy một năm, lần gần nhất cũng là do một lỗ hổng zero-day khác trong các máy chủ ATM bị khai thác để đánh cắp tiền điện tử từ khách hàng từ tháng 8/2022.
Thu Hà (Theo The Hacker News)
09:00 | 22/02/2022
14:00 | 29/11/2021
09:00 | 13/04/2023
09:00 | 15/10/2021
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024