勒索500萬美元!越南大型加密平臺遭與Log4j相關(guān)的勒索軟件攻擊

據(jù)報道，越南最大的加密貨幣平臺之一ONUS成為勒索軟件攻擊的受害者，該攻擊已通過第三方支付軟件追溯到Apache的遠(yuǎn)程代碼執(zhí)行漏洞Log4j。

很快，攻擊者就向ONUS勒索了500萬美元，并威脅說如果ONUS拒絕遵守，就會發(fā)布客戶數(shù)據(jù)。在該公司拒絕支付贖金后，威脅行為者將近200萬ONUS 客戶的數(shù)據(jù)放在論壇上出售。

ONUS 是一種加密貨幣投資應(yīng)用程序，于2020年3月首次在Android和iOS上推出，周五在其網(wǎng)站上發(fā)布消息稱，其系統(tǒng)“因大規(guī)模網(wǎng)絡(luò)攻擊而受到損害”。ONUS管理員表示，“第三方能夠未經(jīng)授權(quán)訪問并竊取某些關(guān)鍵的ONUS數(shù)據(jù)。”

支付軟件運行了一個易受攻擊的log4j版本

12月9日，臭名昭著的Log4Shell漏洞 (CVE-2021-44228)的PoC 漏洞在 GitHub 上泄露。這引起了攻擊者的注意，他們開始大規(guī)模掃描互聯(lián)網(wǎng)以查找易受攻擊的服務(wù)器。

12月11日至13日期間，攻擊者成功利用了ONUS Cyclos服務(wù)器上的Log4Shell漏洞，并植入了后門以實現(xiàn)持續(xù)訪問。

CyStack研究人員說：“攻擊者甚至在供應(yīng)商通知客戶并為其客戶提供補(bǔ)丁說明之前就利用了Cyclos 軟件中的漏洞進(jìn)行攻擊?！?該公司表示，ONUS 在收到警告時修補(bǔ)了該漏洞，但攻擊者可能已經(jīng)滲透到系統(tǒng)中。

安全部門表示，大約200萬ONUS用戶隨后泄露了信息——包括姓名、電子郵件和電話號碼、地址、E-KYC、數(shù)據(jù)、散列密碼、交易歷史和“其他加密信息”。

違規(guī)后，ONUS表示已將其資產(chǎn)管理和存儲系統(tǒng)升級到ONUS Custody v2.0。該平臺還敦促用戶更改其應(yīng)用程序密碼。

CyStack分析

在他們的報告中，CyStack 列出了以下時間表：

12月9日： Log4j 漏洞發(fā)布;據(jù)報道，平臺不知道Cyclos是受Apache缺陷影響的軟件之一;

12月11-13日：攻擊者利用 Cyclos 服務(wù)器上的 Log4j 漏洞為 ONUS 留下后門;

12月14日： Cyclos 將漏洞通知 ONUS 并發(fā)布補(bǔ)丁說明，它確實這樣做了;

12月23日：安全部門檢測到“異常活動”并通知 ONUS;ONUS 確認(rèn) AWS S3 中的用戶數(shù)據(jù)已被刪除;CyStack 實施事件響應(yīng)協(xié)議;

12月24日：攻擊者通過Telegram向ONUS發(fā)送500萬美元的贖金請求;據(jù)報道，ONUS 拒絕了該請求并向用戶披露了這次攻擊。CyStack 繼續(xù)檢查 Cyclos 節(jié)點以檢測/刪除后門;

12月25日：據(jù)報道，攻擊者在黑客論壇上泄露了數(shù)據(jù)，并聲稱擁有ONUS數(shù)據(jù)庫表的副本。

研究人員在他們的報告中稱：“ONUS 最嚴(yán)重的錯誤是ONUS 授予 AmazonS3FullAccess 訪問密鑰的權(quán)限，這允許攻擊者破壞并輕松刪除所有S3存儲桶?！?/p>

該公司繼續(xù)說，為了方便訪問，攻擊者在服務(wù)器上下載并運行了一個后門——稱為 kworker——以將自己偽裝成 Linux 操作系統(tǒng)的 kworker 服務(wù)。

CyStack 說：“基于 go-socks5 庫，后門可能是由攻擊者自己為這次特定攻擊創(chuàng)建的?！?/p>

近200萬條客戶記錄待售

到12月25日，在未能從ONUS獲得勒索金額后，威脅行為者將客戶數(shù)據(jù)放在數(shù)據(jù)泄露市場上出售。

攻擊者聲稱擁有395個ONUS數(shù)據(jù)庫表的副本，其中包含客戶的個人信息和散列密碼。

樣本還包括在KYC過程中獲得的客戶身份證、護(hù)照和客戶提交的視頻自拍剪輯的未經(jīng)編輯的圖像。

CyStack對ONUS的建議包括按照供應(yīng)商的指示修補(bǔ)Cyclos中的Log4Shell漏洞、停用泄露的AWS憑證、正確配置AWS訪問權(quán)限、阻止對所有敏感S3存儲桶的公共訪問以及施加額外限制。

到目前為止，log4j 漏洞已被各種威脅行為者利用，從國家支持的黑客到勒索軟件團(tuán)伙 以及其他一些犯罪分子，將加密礦工注入易受攻擊的系統(tǒng)。

Log4j用戶應(yīng)立即升級到昨天發(fā)布的最新版本 2.17.1(用于 Java 8)。包含修復(fù)程序的反向移植版本 2.12.4 (Java 7) 和 2.3.2 (Java 6) 預(yù)計將很快發(fā)布。

ONUS攻擊凸顯了修補(bǔ)和排查Log4j漏洞的緊迫性，建議企業(yè)與供應(yīng)商合作，尤其是面向互聯(lián)網(wǎng)或用戶的供應(yīng)商，并確定它們是否容易受到Log4j CVE和補(bǔ)丁或通過相應(yīng)地阻止來緩解安全問題。

企業(yè)除了安裝防護(hù)軟件之外，及時檢測、發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的薄弱環(huán)節(jié)，并進(jìn)行維護(hù)和修補(bǔ)，可以有效減小被黑客盯上的概率。同時，對于軟件開發(fā)企業(yè)，不應(yīng)只關(guān)注在軟件開發(fā)的功能和效率，同時要將安全問題融入至開發(fā)周期當(dāng)中，尤其經(jīng)常被忽略的代碼缺陷等問題。在靜態(tài)代碼安全檢測中，不但可以查找、定位代碼的缺陷問題，同時還能檢測出一些不需要運行即可發(fā)現(xiàn)的安全漏洞問題。

參讀鏈接：

https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/

https://www.inforisktoday.com/crypto-platform-suffers-log4j-related-ransomware-attack-a-18219