Nhà sản xuất ATM Bitcoin General Bytes vừa bị tin tặc tấn công khai thác lỗ hổng 0-day trong nền tảng quản lý BATM để đánh cắp tiền điện tử từ công ty và khách hàng.
Tin tặc đã bắt đầu đánh cắp tiền điện tử từ các máy chủ ATM Bitcoin vào ngày 17/3. General Bytes thông báo rằng khách hàng và dịch vụ đám mây của họ đã bị ảnh hưởng bởi cuộc tấn công khiến công ty phải đóng cửa dịch vụ.
Kẻ tấn công đã khai thác lỗ hổng 0-day được theo dõi là BATM-4780 để tải lên ứng dụng Java từ xa thông qua giao diện dịch vụ chính của ATM và chạy nó với đặc quyền người dùng ‘batm’.
General Bytes cho biết máy chủ mà ứng dụng Java độc hại tải lên được cấu hình để khởi động các ứng dụng có trong thư mục (“/batm/app/admin/standalone/deployments/”). Khi làm như vậy sẽ cho phép tin tặc truy cập cơ sở dữ liệu; đọc và giải mã các khóa API được sử dụng để truy cập tiền trong ví nóng và sàn giao dịch; gửi tiền từ ví; tải xuống tên người dùng, mật khẩu và tắt xác thực hai yếu tố (2FA); thậm chí truy cập nhật ký sự kiện đầu cuối.
General Byte đã phát hành bản cập nhật CAS 20221118.48 và 20230120.44 để vá lỗ hổng và kêu gọi khách hàng cài đặt bản cập nhật ngay lập tức để bảo vệ máy chủ và tiền của họ khỏi những kẻ tấn công.
Quản trị viên CAS (Máy chủ ứng dụng tiền điện tử) được khuyến nghị đặt lại mật khẩu và kiểm tra các tệp nhật ký “master.log” và “admin.log” để tìm khoảng trống đáng ngờ về thời gian do kẻ tấn công xóa các mục nhật ký để che giấu hành động của chúng trên thiết bị.
Nguồn: Bleeping Computer