Prag merkezli bir şirket olan General Bytes, 18 Mart’ta, sıcak bir cüzdandaki kullanıcı bilgilerini ve fonları çalmak için yönetim platformuna uzaktan bir Java uygulaması yüklediğini söyleyen bir bilgisayar korsanı uyarısı aldığını duyurdu.
Saldırganın, General Bytes Cloud hizmeti ve diğer GB ATM hizmetleri sağlayıcıları da dahil olmak üzere Digital Ocean’ın IP adres alanını tarayarak 7741 numaralı bağlantı noktasında çalışan birkaç CAS hizmetini tanımlayabileceğine inanılıyor.
Şirketin web sitesi, şirketin dünya çapında 150’ye yakın ülkedeki müşterilere 15.000’den fazla Bitcoin ATM sattığını gösteriyor.
Ne oldu?
Bir müşteri, bağımsız bir yönetim sunucusu kullanarak veya General Bytes’in sunduğu bulut tabanlı bir hizmeti kullanarak bir General Bytes ATM’si dağıtabilir.
Saldırganlar, kod yürütmeyi kullanarak sıcak cüzdanların ve borsaların veritabanına ve API anahtarlarına erişerek fonlara erişim elde edebilir.
Bu, saldırganların kullanıcı adlarını ve parola karmalarını çalmasına ve hesaplarda iki faktörlü kimlik doğrulamayı devre dışı bırakmasına izin vererek, sıcak cüzdanlardan para aktarmalarına izin verdi.
Yasadışı Faaliyetler Gerçekleştirme Yeteneği
Bu istismarlar, saldırganların terminal olay günlüklerine erişmesine ve müşterilerin daha önce eski ATM yazılım sürümleri tarafından kaydedilen ATM’lerdeki özel anahtarları taradığı örnekleri taramasına olanak sağlamıştır.
Yasadışı faaliyetlerde bulunabilen saldırganların sayısında artış oldu; bu nedenle General Bytes, tüm müşterilerini 18 Mart’ta fonlarını ve kişisel bilgilerini korumak için derhal harekete geçmeye çağırıyor.
Şirket, bilgisayar korsanının ne kadar kripto para çaldığını açıklamasa da saldırı kapsamında kullanılan 41 cüzdan adresinin ayrıntılarını yayınladı.
Sunucunuzun İhlal Edilip Edilmediğini Öğrenin
Bunu yapmak için aşağıda belirttiğimiz noktaları takip ettiniz:-
- master.log ve admin.log dosyalarınızı kontrol edin ve bu süre zarfında sunucunuzdan hiçbir şeyin kaydedilmediği herhangi bir zaman aralığı olup olmadığına bakın.
- Genel olarak, olayları bir seferde yalnızca bir gün boyunca görüntülemek mümkündür.
- /batm/app/admin/standalone/deployments/root@batmserver:/batm# ls -la /batm/app/admin/standalone/deployments/ toplam 148352 içinde şüpheli içerik olmadığından emin olun.
- Bilgisayarınızın dosya sisteminde bu dosyalardan herhangi biri bulunmasa bile, bu kesinlikle saldırıya uğramadığınız anlamına gelmez.
- Boş bir admin.log ve master.log dosyası, bir sorunun birincil göstergesidir.
CAS yöneticisi, saldırganın eylemlerini gizlemek için günlük girişlerini silmesinden kaynaklanan şüpheli zaman boşlukları için “master.log” ve “admin.log” günlük dosyalarını incelemelidir.
General Byte’a göre rapormasaüstüne yüklenen kötü amaçlı Java uygulamaları, /batm/app/admin/standalone/deployments/ içinde rastgele adlandırılmış .war ve .war.deployed dosyaları olarak görünür.
Her kurbanın muhtemelen farklı bir dosya adı olacaktır ve burada aşağıdaki resimde onları görebilirsiniz: –
Bu nedenle şirketin araştırmacıları, kullanıcıların sunucularını mümkün olan en kısa sürede güncellemelerini tavsiye etti, aksi takdirde gelecekte sorunlarla karşılaşabilirler.
Bağımsız Operatörler için Adımlar:
- Yönetici ve ana hizmeti durdurmalı ve yama sürümü kullanıma sunulana kadar beklemelisiniz.
- BATM sunucunuzun güvenliği ihlal edilmişse, saldırganın sunucunuzda kod bırakmadığından emin olmak için işletim sistemi dahil sunucuyu yeniden yüklemeniz kesinlikle önerilir.
- Güvenlik analistleri, sunucunuzu en son sürüm olan 20230120.44’e güncellemenizi önerdi.
- CAS sunucusu yönetici arayüzünüzün doğru çalışması için, sunucu güvenlik duvarı tarafından 7777 veya 443 numaralı TCP bağlantı noktalarının kullanılmasına izin vermeniz gerekir.
- Hiçbir makinenin satılmaması için CAS arayüzündeki tüm terminallerinizin devre dışı bırakıldığından emin olun.
- Saldırganın eklediği terminaller varsa bunları kaldırmalısınız.
TÜM Operatörler için Adımlar:
- CAS’ınızdaki tanınmayan kullanıcıları, izinlerini ve gruplarını silin.
- Bir önlem olarak, her CAS kullanıcısının e-posta adresini kontrol edin ve tüm kullanıcı şifrelerini (kendi şifreniz hariç) mümkün olan en kısa sürede sıfırlayın.
- Kripto adreslerinizin ve stratejilerinizin doğru olduğundan emin olmak için Kripto Ayarlarınızı gözden geçirmeli ve Kripto Ayarları testlerini çalıştırmalısınız.
- Tanınmayan veya eşleştirilmemiş terminalleri listeden kaldırın.
- Doğrulanan terminalleri etkinleştirin.
- Güvenli iletişim sağlamak için terminaller arasında bir VPN bağlantısı kurun.
Kullanılan kripto adresleri
Aşağıda, tehdit aktörleri tarafından bu saldırıda kullanılan bazı kripto adreslerinden bahsetmiştik:-
- ADA = 0x7A0E7D41658F409C11288E0a2988406f2186A474
- AQUA = 0x7A0E7D41658F409C11288E0a2988406f2186A474
- KARINCA = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83
- BAT = 0x3d1451bF188511ea3e1CFdf45288fD53B16FE17E
- BCH = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83
- BTBS = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83
- BTC = bc1qfa8pryacrjuzp9287zc2ufz5n0hdthff0av440
- BTX = 0x7A0E7D41658F409C11288E0a2988406f2186A474
- BUSD = 0x7A0E7D41658F409C11288E0a2988406f2186A474
- DAI = 0x7A0E7D41658F409C11288E0a2988406f2186A474
- BIZZ=0xAE0aC391b8361B5Fc1aF657703779886a7898497
- DASH = Xi4GstuqKFTRo3WB6gFpPnB6jiWtLSHJDj
- DGB = dgb1qgea3hzw62zl6req06k708swtv5xc53sdp85jzn
- DOGE = DN1bKoV7BbuYBeysnYNT8EFj8BGTSeyLCc
- ETC = 0x8A9344be2BA8DeAA2862EAb0Aab20C7cC36c432a
- ETH = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83
- EGLD = erd1w7n54rlzrxe6jl8xpmh0de4g9jhc028zeppsjdme9g45gsnhw53s4vhgsg
- Avro = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- FTO = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- GRS = grs1qhckdwm8dqt8pfdu2d6e649qs5jrqn6sslzlyhw
- GQ=0xAE0aC391b8361B5Fc1aF657703779886a7898497
- KAPAK = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- HT=0xAE0aC391b8361B5Fc1aF657703779886a7898497
- İŞ = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- LMY = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- LTC = ltc1qvd5usunrpgsynyeey9n46xucy7emk62ycljl0t
- MKR = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- NANO = nano_1rrqx4esqbfuci7whzkzms7u4kib8ojcnkaokceh9fbr79sa4a36pmqgnxd4
- NXT = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- PAXG=0xAE0aC391b8361B5Fc1aF657703779886a7898497
- REP=0xAE0aC391b8361B5Fc1aF657703779886a7898497
- SHIB=0xAE0aC391b8361B5Fc1aF657703779886a7898497
- TRX = TDjFvfcysNGaxnX7pzpvC6xfSmCC5u8qgr
- USDS = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- USDC = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- USDT = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- USDTTRON = TDjFvfcysNGaxnX7pzpvC6xfSmCC5u8qgr
- VIA = via1quynq6wweqz0pk9wygv82qg83tk5zu47yqweht5
- XRP = rDkoXVLChaDvc8SHFoTNZEDzcbtFNwF977
- ZPAE = 0xAE0aC391b8361B5Fc1aF657703779886a7898497
- XMR = 426FQDKF9rbHZLbNgisRKU2m2CVfnoNpFL7ZsAoDQBHP1eRDUKaj64zDtnFychJqSg1W6eskoFqdkG4gX8BSvWvkQr8oxVc
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Ayrıca Oku: