Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آسیب پذیری امنیتی
  • اخبار
  • بازیگران تهدید

هک دستگاههای خودپرداز ارزهای دیجیتال

On فروردین 2, 1402فروردین 28, 1402
seyyid
Share
زمان مطالعه: 3 دقیقه

کمپانی General Bytes که در زمینه خودپردازهای ارزهای دیجیتال فعالیت داره ، اعلام کرده که هکرها تونستن از طریق یه آسیب پذیری زیرودی در پلتفرم مدیریت  BATM ، ارزهای دیچیتال این شرکت و مشتریهاش رو به سرقت ببرن.

دستگاههای خودپرداز این شرکت امکان خرید و فروش 40 ارز دیجیتال رو برای مشتریها فراهم میکنن. شکل زیر میزان توزیع این دستگاهها در سراسر دنیا رو نشون میده:

 

General Bytes ATM

 

هکرها از طریق یه آسیب پذیری زیرودی به شناسه BATM-4780 تونستن یه برنامه جاوایی رو از راه دور و از طریق رابط master service روی دستگاه آپلود کنن و با امتیاز کاربر batm اجرا کردن.

این شرکت اعلام کرده که مهاجمین IPهای سرویس هاستینگ ابری Digital Ocean اسکن میکنن و سرویس های Crypto Application Server روی پورت 7741 از جمله سرویس های General Bytes Cloud و سایر خودپردازهای این شرکت که روی Digital Ocean اجرا میشن ، شناسایی میکنن.

 

 

بعد از آپلود برنامه جاوایی، مهاجمین امکان :

  • دسترسی به دیتابیس دستگاه
  • دسترسی و رمزگشایی API keyهای مورد استفاده برای دسترسی به وجوه کیف های پول و صرافی ها
  • ارسال وجوه از hot walletها
  • امکان دانلود نامهای کاربری و هش های پسوردها و همچنین خاموش کردن 2FA
  • دسترسی به لاگهای ترمینال دستگاه و اسکن کلید های خصوصی مشتریان. دستگاههای قدیمی این اطلاعات رو لاگ میکردن.

این شرکت اعلام کرده که سرویس ابری و مشتریاش در طی این حمله دچار نقض شدن. همچنین یسری آدرس از کیف پول مهاجمین قرار داده که نشون میده مهاجمین 17 مارس ، 26 اسفند1401، شروع به سرقت ارزهای دیجیتال کردن. آدرس بیت کوینشون مقدار 56.28570959 بیت کوین، معادل 1,589,000 دلار و آدرس اتریومشون حاوی 21.79436191 اتریوم معادل 39,000 دلار هستش.

مهاجمین از Uniswap برای تبدیل اتریوم به USDT استفاده کردن و کیف پول بیت کوینشون هنور حاوی ارزهای سرقت شده هستش.

این شرکت اعلام کرده که هر چه سریعتر بروزرسانی های امنیتی برای این دستگاهها رو اعمال کنن.

این شرکت اعلام کرده که سرویس ابریش رو هم متوقف میکنه. همچنین اعلام کرده که کسایی که CAS مستقل خودشون رو دارن ، اونو پشت فایروال یا VPN قرار بدن.

نکته ای که در این خصوص هستش اینه که این سیستمها از سال 2021 ، چندین بار ارزیابی امنیتی شدن و هیچ کدومشون این آسیب پذیری رو شناسایی نکردن.

 

نحوه کشف دستگاههای آسیب دیده:

بررسی فایلهای لاگ master.log و admin.log برای فاصله زمانی مشکوک به پاک شدن توسط مهاجمین.

همچنین برنامه جاوایی در فولدر زیر قرار میگیره:

 

1
/batm/app/admin/standalone/deployments/

 

این برنامه ها با نامهای تصادفی و با فرمت .war و .war.deployed در دستگاه ها مستقر میشن. نام فایلها برای هر قربانی متفاوت هستش.

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
root@batmserver:/batm# ls -la /batm/app/admin/standalone/deployments/
total 148352
drwx------ 2 batm batm     4096 Mar 17 23:53 .
drwx------ 8 batm batm     4096 Mar 10 12:49 ..
-rw------- 1 batm batm 69125138 Mar 10 12:47 batm_server_admin.war
-rw-r--r-- 1 batm batm       21 Mar 10 12:47 batm_server_admin.war.deployed
-rw-r--r-- 1 batm batm     5818 Mar 17 23:53 hvqyhl.war
-rw-r--r-- 1 batm batm       10 Mar 17 23:53 hvqyhl.war.deployed
-rw------- 1 batm batm  1007502 Jul 15  2019 mysql-connector-java-5.1.47.jar
-rw-r--r-- 1 batm batm       31 Jul 15  2019 mysql-connector-java-5.1.47.jar.deployed
-rw-r--r-- 1 batm batm       10 Mar 17 22:30 nheyww.war.undeployed
-rw-r--r-- 1 batm batm       10 Mar 17 22:33 nsumys.war.undeployed
-rw-r--r-- 1 batm batm       10 Mar 17 22:38 qosxtf.war.undeployed
-rw------- 1 batm batm     8888 Jul  2  2019 README.txt
-rw------- 1 batm batm 81691033 Mar 10 12:49 server_admin_api.war
-rw-r--r-- 1 batm batm       20 Mar 10 12:49 server_admin_api.war.deployed
-rw-r--r-- 1 batm batm       10 Mar 17 23:07 txnotd.war.undeployed
-rw-r--r-- 1 batm batm       10 Mar 17 22:43 uabcxo.war.undeployed
-rw-r--r-- 1 batm batm       10 Mar 17 22:36 varwda.war.undeployed
-rw-r--r-- 1 batm batm       10 Mar 17 22:34 wgzooh.war.undeployed
-rw-r--r-- 1 batm batm       10 Mar 17 22:37 wljtmq.war.undeployed
root@batmserver:/batm#

 

دستگاههایی که نشونه هایی از نقض ندارن باید API keyها و پسوردهای CAS و پسوردهای مشتریها رو بازیابی کنن.

 

آدرسهای ارزهای دیجتالی که در این حمله مورد استفاده قرار گرفتن:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
ADA =  0x7A0E7D41658F409C11288E0a2988406f2186A474
  AQUA =  0x7A0E7D41658F409C11288E0a2988406f2186A474
  ANT =  0xD5173d215551538cebE79C4e40A4C54Fb751DD83
  BAT =  0x3d1451bF188511ea3e1CFdf45288fD53B16FE17E
  BCH =  0xD5173d215551538cebE79C4e40A4C54Fb751DD83
  BTBS =  0xD5173d215551538cebE79C4e40A4C54Fb751DD83
  BTC =  bc1qfa8pryacrjuzp9287zc2ufz5n0hdthff0av440
  BTX =  0x7A0E7D41658F409C11288E0a2988406f2186A474
  BUSD =  0x7A0E7D41658F409C11288E0a2988406f2186A474
  DAI =  0x7A0E7D41658F409C11288E0a2988406f2186A474
  BIZZ =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  DASH =  Xi4GstuqKFTRo3WB6gFpPnB6jiWtLSHJDj
  DGB =  dgb1qgea3hzw62zl6req06k708swtv5xc53sdp85jzn
  DOGE =  DN1bKoV7BbuYBeysnYNT8EFj8BGTSeyLCc
  ETC =  0x8A9344be2BA8DeAA2862EAb0Aab20C7cC36c432a
  ETH =  0xD5173d215551538cebE79C4e40A4C54Fb751DD83
  EGLD =  erd1w7n54rlzrxe6jl8xpmh0de4g9jhc028zeppsjdme9g45gsnhw53s4vhgsg
  EURS =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  FTO =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  GRS =  grs1qhckdwm8dqt8pfdu2d6e649qs5jrqn6sslzlyhw
  GQ =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  HATCH =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  HT =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  JOB =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  LMY =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  LTC =  ltc1qvd5usunrpgsynyeey9n46xucy7emk62ycljl0t
  MKR =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  NANO =  nano_1rrqx4esqbfuci7whzkzms7u4kib8ojcnkaokceh9fbr79sa4a36pmqgnxd4
  NXT =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  PAXG =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  REP =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  SHIB =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  TRX =  TDjFvfcysNGaxnX7pzpvC6xfSmCC5u8qgr
  USDS =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  USDC =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  USDT =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  USDTTRON =  TDjFvfcysNGaxnX7pzpvC6xfSmCC5u8qgr
  VIA =  via1quynq6wweqz0pk9wygv82qg83tk5zu47yqweht5
  XRP =  rDkoXVLChaDvc8SHFoTNZEDzcbtFNwF977
  ZPAE =  0xAE0aC391b8361B5Fc1aF657703779886a7898497
  XMR =  426FQDKF9rbHZLbNgisRKU2m2CVfnoNpFL7ZsAoDQBHP1eRDUKaj64zDtnFychJqSg1W6eskoFqdkG4gX8BSvWvkQr8oxVc

 

آدرسهای IP مهاجمین:

 

1
2
3
4
5
123.204.4.202
 
172.104.237.25
 
172.104.237.25

 

 

منبع

 

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آسیب پذیری امنیتی اخبار بازیگران تهدیدIn Digital Ocean , General Bytes , Uniswap , ارز دیجیتال

راهبری نوشته

کمپانی Ferrari ، هک شد
توقف فعالیت فروم Breached

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On دی 23, 1402

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (از 16 تا 22 دی)

  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
seyyid
On فروردین 30, 1402

بدافزار اندرویدی با 60 برنامه آلوده و 100 میلیون نصب

  • آسیب پذیری امنیتی
  • اخبار
  • بازیگران تهدید
  • باگ بانتی
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • مقالات
seyyid
On دی 2, 1401فروردین 28, 1402

بررسی Patch Tuesday مایکروسافت برای دسامبر 2022 (آذر 1401)

  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
seyyid
On اردیبهشت 9, 1402اردیبهشت 10, 1402

عملکرد گوگل در برابر تهدیدات اندروید در سال 2022

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404