勒索500萬美元!越南大型加密平臺遭與Log4j相關的勒索軟體攻擊

據報導，越南最大的加密貨幣平臺之一ONUS成為勒索軟體攻擊的受害者，該攻擊已通過第三方支付軟體追溯到Apache的遠端程式碼執行漏洞Log4j。

很快，攻擊者就向ONUS勒索了500萬美元，並威脅說如果ONUS拒絕遵守，就會發布客戶資料。在該公司拒絕支付贖金後，威脅行為者將近200萬ONUS 客戶的資料放在論壇上出售。

ONUS 是一種加密貨幣投資應用程式，於2020年3月首次在Android和iOS上推出，週五在其網站上釋出訊息稱，其系統“因大規模網路攻擊而受到損害”。ONUS管理員表示，“第三方能夠未經授權訪問並竊取某些關鍵的ONUS資料。”

支付軟體執行了一個易受攻擊的log4j版本

12月9日，臭名昭著的Log4Shell漏洞 (CVE-2021-44228)的PoC 漏洞在 GitHub 上洩露。這引起了攻擊者的注意，他們開始大規模掃描網際網路以查詢易受攻擊的伺服器。

12月11日至13日期間，攻擊者成功利用了ONUS Cyclos伺服器上的Log4Shell漏洞，並植入了後門以實現持續訪問。

CyStack研究人員說：“攻擊者甚至在供應商通知客戶併為其客戶提供補丁說明之前就利用了Cyclos 軟體中的漏洞進行攻擊。” 該公司表示，ONUS 在收到警告時修補了該漏洞，但攻擊者可能已經滲透到系統中。

安全部門表示，大約200萬ONUS使用者隨後洩露了資訊——包括姓名、電子郵件和電話號碼、地址、E-KYC、資料、雜湊密碼、交易歷史和“其他加密資訊”。

違規後，ONUS表示已將其資產管理和儲存系統升級到ONUS Custody v2.0。該平臺還敦促使用者更改其應用程式密碼。

CyStack分析

在他們的報告中，CyStack 列出了以下時間表：

12月9日： Log4j 漏洞釋出;據報導，平臺不知道Cyclos是受Apache缺陷影響的軟體之一;

12月11-13日：攻擊者利用 Cyclos 伺服器上的 Log4j 漏洞為 ONUS 留下後門;

12月14日： Cyclos 將漏洞通知 ONUS 併發布補丁說明，它確實這樣做了;

12月23日：安全部門檢測到“異常活動”並通知 ONUS;ONUS 確認 AWS S3 中的使用者資料已被刪除;CyStack 實施事件響應協議;

12月24日：攻擊者通過Telegram向ONUS傳送500萬美元的贖金請求;據報導，ONUS 拒絕了該請求並向使用者披露了這次攻擊。CyStack 繼續檢查 Cyclos 節點以檢測/刪除後門;

12月25日：據報導，攻擊者在黑客論壇上洩露了資料，並聲稱擁有ONUS資料庫表的副本。

研究人員在他們的報告中稱：“ONUS 最嚴重的錯誤是ONUS 授予 AmazonS3FullAccess 訪問金鑰的許可權，這允許攻擊者破壞並輕鬆刪除所有S3儲存桶。”

該公司繼續說，為了方便訪問，攻擊者在伺服器上下載並執行了一個後門——稱為 kworker——以將自己偽裝成 Linux 作業系統的 kworker 服務。

CyStack 說：“基於 go-socks5 庫，後門可能是由攻擊者自己為這次特定攻擊建立的。”

近200萬條客戶記錄待售

到12月25日，在未能從ONUS獲得勒索金額後，威脅行為者將客戶資料放在資料洩露市場上出售。

攻擊者聲稱擁有395個ONUS資料庫表的副本，其中包含客戶的個人資訊和雜湊密碼。

樣本還包括在KYC過程中獲得的客戶身份證、護照和客戶提交的視訊自拍剪輯的未經編輯的影像。

CyStack對ONUS的建議包括按照供應商的指示修補Cyclos中的Log4Shell漏洞、停用洩露的AWS憑證、正確配置AWS訪問許可權、阻止對所有敏感S3儲存桶的公共訪問以及施加額外限制。

到目前為止，log4j 漏洞已被各種威脅行為者利用，從國家支援的黑客到勒索軟體團伙 以及其他一些犯罪分子，將加密礦工注入易受攻擊的系統。

Log4j使用者應立即升級到昨天釋出的最新版本 2.17.1(用於 Java 8)。包含修復程式的反向移植版本 2.12.4 (Java 7) 和 2.3.2 (Java 6) 預計將很快釋出。

ONUS攻擊凸顯了修補和排查Log4j漏洞的緊迫性，建議企業與供應商合作，尤其是面向網際網路或使用者的供應商，並確定它們是否容易受到Log4j CVE和補丁或通過相應地阻止來緩解安全問題。

企業除了安裝防護軟體之外，及時檢測、發現網路系統中的薄弱環節，並進行維護和修補，可以有效減小被黑客盯上的概率。同時，對於軟體開發企業，不應只關注在軟體開發的功能和效率，同時要將安全問題融入至開發週期當中，尤其經常被忽略的程式碼缺陷等問題。在靜態程式碼安全檢測中，不但可以查詢、定位程式碼的缺陷問題，同時還能檢測出一些不需要執行即可發現的安全漏洞問題。

參讀連結：

https://www.bleepingcomputer.com/news/security/fintech-firm-hit-by-log4j-hack-refuses-to-pay-5-million-ransom/