General Bytes cho biết: Kẻ tấn công có thể đã tải lên từ xa thông qua giao diện dịch vụ chính bằng các thiết bị đầu cuối và chạy bằng quyền hạn của người dùng "batm".
Kẻ tấn công đã quét không gian địa chỉ IP lưu trữ đám mây Digital Ocean và xác định các dịch vụ Crypto Application Server (CAS) đang chạy trên cổng 7741, bao gồm dịch vụ General Bytes Cloud và các nhà điều hành máy ATM GB khác đang chạy máy chủ của mình trên Digital Ocean.
General Bytes cho rằng máy chủ mà ứng dụng Java độc hại tải lên được cấu hình mặc định tự khởi động các ứng dụng có mặt trong thư mục deployment ("/ batm / app / admin / standalone / deployments /").
Khi đó, cho phép kẻ tấn công truy cập vào cơ sở dữ liệu, đọc và giải mã các khóa API được sử dụng để truy cập quỹ trong các ví nóng và sàn giao dịch, gửi tiền từ các ví, tải xuống tên người dùng, băm mật khẩu và tắt xác thực hai yếu tố (2FA) thậm chí truy cập các nhật ký sự kiện của terminal.
Ngoài việc kêu gọi khách hàng bảo vệ các máy chủ (CAS) của mình bằng tường lửa và VPN, công ty cũng khuyến cáo người dùng nên xoay vòng tất cả các mật khẩu và khóa API trên các sàn giao dịch và ví nóng.
General Bytes không tiết lộ chính xác số tiền bị tin tặc đánh cắp, nhưng một phân tích về ví tiền điện tử được sử dụng trong cuộc tấn công cho thấy ví này đã nhận 56,283 BTC (1.5 triệu USD), 21,823 ETH (36.500 USD) và 1.219,183 LTC (96.500 USD).
Đây là vụ tấn công thứ hai nhắm vào General Bytes trong vòng chưa đầy một năm, lần gần nhất cũng là do một lỗ hổng zero-day khác trong các máy chủ ATM bị khai thác để đánh cắp từ khách hàng từ tháng 8/2022.
Thu Hà (Theo The Hacker News)
09:00 | 22/02/2022
14:00 | 29/11/2021
09:00 | 13/04/2023
09:00 | 15/10/2021
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
