比特币ATM制造商GeneralBytes透露,黑客利用其软件中的零日漏洞从热钱包中窃取了加密货币。攻击者能够通过终端用于上传视频的主服务接口远程上传他自己的Java程序,并使用batm用户权限运行它。
黑客利用恶意软件Glupteba从比特币区块链中获取秘密消息:Sophos Labs研究人员发现第一起利用比特币的区块链与指挥控制(C&C)中心通信的劫持代码案件。“比特币的‘交易’实际上并不一定是关于钱的—它们可以包括名为RETURN(也称为OP_RETURN)的字段,这实际上是一个长达80个字符的备注。”这正是黑客在这种情况下所做的事情(如图所示),返回的是一条加密的秘密消息,需要256位AES解密密钥,该密钥被编码到Glupteba恶意软件程序中。
Sophos研究人员已经进行解密,显示一个域地址,这个地址就是隐藏在人们视线中的指挥和控制中心。他们表示,“这种‘隐藏在明处’的方式通常被称为隐写术。”目前还不清楚让黑客知道是否是好的,因为现在他们可以把它放在图像中。(Trustnodes)[2020/6/26]
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,攻击者扫描了DigitalOcean云托管IP地址空间,并确定在端口7741上运行CAS服务,包括GeneralBytesCloud服务和其他在DigitalOcean上运行其服务器的GeneralBytesATM运营商。
动态 | 警惕黑客利用Virobot恶意软件执行勒索攻击:降维安全实验室关注到一款新的恶意软件Virobot,它通过微软Outlook以垃圾邮件的方式进行大肆传播。一旦感染Virobot,它会通过随机生成秘匙来加密用户文档,窃取诸如信用卡信息和密码在内的诸多敏感数据。此外,Virobot还会将受害者数据通过POST发送到C&C服务器上。更多细节和缓解措施请联系降维安全实验室。[2018/9/24]
恶意Java程序上传到的服务器默认配置为启动部署文件夹/batm/app/admin/standalone/deployments/中的应用程序。这使得攻击者可以访问数据库,读取和解密用于访问热钱包和交易所资金的API密钥、从钱包种转移资金、下载用户名密码哈希值,并关闭双因素身份验证(2FA),甚至访问终端事件日志等。
动态 | 俄罗斯黑客利用比特币购买服务器来隐藏其踪迹:据CCN消息,近日美国负责调查\"俄罗斯干预美国大选\"的特别检察官罗伯特·穆勒起诉了12名俄罗斯黑客嫌疑人,调查显示这些黑客曾利用比特币购买服务器,试图在网络上“销声匿迹”;而当他们踪迹被曝光之后,调查人员还发现了他们的证据。[2018/7/16]
GeneralBytes已在149个国家销售了超过15137台ATM终端。它支持超过180种法定货币,并在全球范围内总共执行了近2260万笔交易。
BATM旨在连接到加密应用程序服务器(CAS),该服务器通过DigitalOcean提供的基础设施在云端进行管理。由于该事件,其自己的云服务以及其他运营商的独立服务器已被渗透,促使该公司关闭了该服务。
除了敦促客户将他们的加密应用程序服务器(CAS)置于防火墙和VPN之后,它还建议将所有用户的密码和API密钥轮换到交易所和热钱包。
CAS安全修复程序在两个服务器补丁版本20221118.48和20230120.44中提供,该公司进一步强调,它自2021年以来进行了多次安全审计,但没有一次标记出此漏洞。它似乎自版本20210401以来一直未打补丁。
GeneralBytes没有透露黑客窃取资金的确切金额,但对攻击中使用的加密货币钱包的分析显示收到了56.283BTC、21.823ETH和1,219.183LTC。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。