加密貨幣交易平臺遭遇Log4j攻擊,拒絕支付500萬贖金
加密貨幣交易平臺ONUS遭遇Log4j攻擊,拒絕支付500萬贖金。
越南最大的加密貨幣交易平臺ONUS運行有漏洞的Log4j版本的支付系統遭遇網絡攻擊。攻擊者要求ONUS支付500萬美元的贖金,并威脅公布用戶數據。
事件概述
12月9日,Log4Shell (CVE-2021-44228)漏洞的PoC 漏洞利用在GitHub公開。隨后出現了大量針對有漏洞的服務器的大規模掃描活動。12月11日-13日,攻擊者成功利用ONUS平臺Cyclos服務器上的Log4Shell漏洞,并成功植入了后門軟件。
Cyclos于12月13日通知ONUS 修復系統,但是太遲了。雖然ONUS已經修復了Cyclos實例中的安全漏洞,但是漏洞窗口期使得攻擊者成功竊取了敏感數據庫的數據。被竊的數據庫中有近200萬的用戶數據,包括KYC (Know Your Customer)數據、哈希的密碼等。
事實上,Log4Shell漏洞存在于一個僅用于編程目的是沙箱服務器,但由于系統配置措施使得允許進一步訪問敏感數據存儲位置的刪除數據。
200萬數據泄露
隨后,攻擊者要求ONUS被要求支付500萬贖金,否則會公開竊取的數據。12月25日,由于ONUS未支付足額贖金,攻擊者在暗網數據交易市場出售客戶數據。
近200萬ONUS客戶數據被出售
攻擊者稱有包含客戶個人數據和哈希后的密碼的395個ONUS數據庫表。樣本數據中包含客戶身份證圖像、護照、以及KYC過程中客戶提交的視頻片段。
事件分析
網絡安全公司 CyStack對該事件進行了分析發現攻擊過程不僅僅利用了一個Log4j漏洞。Log4j漏洞利用僅僅為攻擊者提供了一個入口,更大的問題是ONUS的Amazon S3 buckets錯誤配置導致攻擊者可以訪問,最終導致了敏感數據的泄露。攻擊者獲取的客戶數據包括:
- 姓名
- 郵箱和手機號
- 地址
- KYC信息
- 加密的密碼
- 交易歷史
- 其他加密的信息
補丁
目前,針對Java 8版本的Log4j 2.17.1版本已經發布,建議用戶盡快更新到最新版本。此外,針對Java 7的2.12.4版本和針對Java 6的2.3.2版本也會在近期發布,建議用戶持續關注。
