Theo General Bytes, kẻ tấn công có thể đã tải lên một bản đồ cài đặt ứng dụng Java thông qua giao diện dịch vụ chính bằng các thiết bị đầu cuối và chạy bằng quyền hạn của người dùng "batm" từ xa.
Kẻ tấn công đã quét không gian địa chỉ IP lưu trữ đám mây Digital Ocean và xác định các dịch vụ Crypto Application Server (CAS) đang chạy trên cổng 7741, bao gồm dịch vụ General Bytes Cloud và các nhà điều hành máy ATM GB khác chạy máy chủ của mình trên Digital Ocean.
Theo General Bytes, máy chủ mà ứng dụng Java độc hại tải lên được cấu hình mặc định tự khởi động các ứng dụng có mặt trong thư mục deployment ("/ batm / app / admin /lone / deployments /").
Khi đó, kẻ tấn công có thể truy cập cơ sở dữ liệu, đọc và giải mã các API được sử dụng để truy cập quỹ trong các ví nóng và sàn giao dịch, gửi tiền từ các ví, tải xuống tên người dùng, băm mật khẩu và tắt xác thực hai yếu tố (2FA) thậm chí truy cập nhật ký sự kiện của terminal.
Ngoài việc kêu gọi khách hàng bảo vệ các máy chủ, ứng dụng tiền điện tử Công ty khuyên người dùng nên xoay vòng tất cả các mật khẩu và API trên các sàn giao dịch và ví nóng. (CAS) của mình bằng tường lửa và VPN.
Mặc dù General Bytes không tiết lộ chính xác số tiền bị tin tặc đánh cắp, nhưng một phân tích về ví tiền điện tử được sử dụng trong cuộc tấn công cho thấy ví này đã nhận được 56,283 BTC (1,5 triệu USD), 21,823 ETH (36.500 USD) và 1.219,183 LTC (96.500 USD).
Đây là vụ tấn công thứ hai nhắm vào General Bytes trong vòng chưa đầy một năm, lần gần nhất là do một lỗ hổng zero-day khác trong các máy chủ ATM bị khai thác để đánh cắp tiền điện tử từ khách hàng từ tháng 8/2022.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Nguồn tin: antoanthongtin.vn
Tham gia bình luận