攻击者利用Hadoop Yarn REST API未授权漏洞攻击云主机,安装挖矿木马等_okx:BAKC Vault (NFTX)

腾讯安全威胁情报中心检测到有攻击者利用HadoopYarnRESTAPI未授权命令执行漏洞攻击云上主机,攻击成功后执行恶意命令,向系统植入挖矿木马、IRCBotNet后门、DDoS攻击木马,入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。

加密KOL:FTX 攻击者已将至少410万美元被盗资产转移到OKX:11月29日消息,加密 KOL ZachXBT 发推称,FTX 攻击者在使用比特币混币器 ChipMixer 后将一部分被盗资金转移到 OKX,目前至少已向 OKX 发送了 410 万美元(255 BTC)。其转移资金方式基本都遵循使用 ChipMixer 后将 50% 资金存入 OKX,另外 50% 资金剥离(peel off)。ZachXBT 表示,FTX 攻击者在使用 Ren Bridge 后于11月20日开始将 BTC 存入 ChipMixer。

此前慢雾曾发文介绍洗币手法剥离链(Peel Chain)技术,该技术一方面是因为每次单独转移的金额很小,几乎不会引发交易平台的风控提醒,另一方面是由于这种洗币链路极度冗长和复杂,会使他们盗取的资产变得极难追踪。[2022/11/30 21:11:13]

攻击者入侵成功后,会清理系统进程和文件,以清除其他资源占用较高的进程,以便最大化利用系统资源。入侵者同时会配置免密登录后门,以方便进行远程控制,入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。

澳大利亚电信公司Optus发生用户数据泄露事件,攻击者索要100万美元门罗币:9月26日消息,澳大利亚第二大电信公司Optus近日发生大规模用户数据泄露事件。其中一位攻击者声称拥有相关信息,包括1120万Optus客户的用户姓名、出生日期、电话号码、电子邮件地址、家庭住址以及护照和驾照号码在内的详细信息,还公布两个包含100条客户信息的样本,并索要100万美元的门罗币。(The Guardian)[2022/9/26 7:21:24]

通过对木马家族进行关联分析,发现本次攻击活动与永恒之蓝下载器木马关联度极高,攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致,但尚不能肯定攻击活动由这两个团伙发起。

分析:Warp Finance攻击者通过闪电贷铸造LP代币清算其USDC和DAI金库:针对DeFi协议Warp Finance遭遇闪电贷攻击事件,白帽黑客、Marqet交易所联合创始人Emiliano Bonassi表示:“这是第二次利用多重闪电流动性的攻击,通过Uniswap进行闪电互换,通过dYdX进行闪电贷款。”他补充说,攻击者通过闪电交换向Uniswap上的三个不同池提供三笔打包ETH贷款,并向dYdX交易平台提供另外两笔打包ETH贷款。这些资金随后被用来铸造WETH/DAI流动性池(LP)代币,这些代币被用作Warp Finance的抵押品,以清算其USDC和DAI金库。(Cointelegraph)[2020/12/18 15:38:37]

本次攻击具有蠕虫式的扩散传播能力,可下载安装后门、执行任意命令,发起DDoS攻击,对受害单位网络信息系统安全构成严重影响。建议用户尽快修复HadoopYarnRESTAPI未授权命令执行漏洞,避免采用弱口令,采用腾讯安全的技术方案检测系统,清除威胁。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:0ms0-1:42ms