攻擊者利用Hadoop Yarn REST API未授權漏洞攻擊云主機，安裝挖礦木馬等_ORM

騰訊安全威脅情報中心檢測到有攻擊者利用HadoopYarnRESTAPI未授權命令執行漏洞攻擊云上主機，攻擊成功后執行惡意命令，向系統植入挖礦木馬、IRCBotNet后門、DDoS攻擊木馬，入侵成功后還會使用SSH爆破的方式進一步向目標網絡橫向擴散。

Wormhole攻擊者拋售SOL，并將約290萬枚USDC橋接至以太坊新地址:1月15日消息，鏈上數據顯示，跨鏈協議Wormhole攻擊者（5XiqTJQBTZKcGjcbCydZvf9NzhE2R3g7GDx1yKHxs8jd）將所持有的價值約260萬美元SOL出售為USDC，目前該地址仍剩余192,651枚SOL。據慢霧監測顯示，黑客隨后將約290萬枚USDC橋接至以太坊新地址，初始Gas費來自于先前標記的錢包地址（(WormholeNetworkExploiter）。

此前報道，2022年2月3日，跨鏈協議Wormhole遭黑客攻擊，本次攻擊事件中損失達12萬枚ETH（約合3.26億美元），目前8萬枚ETH已轉移至以太坊網絡，其余4萬枚ETH保留在Solana上。[2023/1/15 11:13:18]

攻擊者入侵成功后，會清理系統進程和文件，以清除其他資源占用較高的進程，以便最大化利用系統資源。入侵者同時會配置免密登錄后門，以方便進行遠程控制，入侵者安裝的IRC后門、DDoS木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。

安全公司：SEAMAN項目遭閃電貸攻擊，攻擊者獲利約7800美元:金色財經報道，安全公司CertiK Alert發推稱，SEAMAN 項目遭閃電貸攻擊，開發者利用了 SEAMAN 處理 LP 存款上的 GVC 分 配方式中的一個漏洞。該漏洞使 GVC 價格下跌，攻擊者共能獲利約 7800 美元。

SEAMAN 合約：BSC 0x6bc9b4976ba6f8C9574326375204eE469993D038

Great Voyage Coin (GVC) 合約：BSC 0xDB95FBc5532eEb43DeEd56c8dc050c930e31017e[2022/11/29 21:10:05]

通過對木馬家族進行關聯分析，發現本次攻擊活動與永恒之藍下載器木馬關聯度極高，攻擊者使用的攻擊套件與Outlaw僵尸網絡木馬高度一致，但尚不能肯定攻擊活動由這兩個團伙發起。

研究人員：攻擊者能夠入侵加密貨幣硬件錢包，目前漏洞已修復:5月19日訊，Ledge研究人員證明可以對硬件錢包制造商Coinkite和Shapeshift產品進行攻擊，這可能會讓攻擊者找到保護這些錢包的PIN碼。目前漏洞已經被修復，兩次黑客攻擊都需要對設備進行物理訪問，這從一開始就將危險降到最低。但Ledger認為，保持硬件錢包的最高標準還是值得的。

Ledger首席技術官、Donjon安全團隊負責人Charles Guillmet表示，“如果你愿意，你可以在一個硬件錢包里放入數百萬甚至數十億美元。因此，如果攻擊者能夠物理訪問硬件錢包，而錢包又不安全，那么這絕對是一件大事。一些加密貨幣交易所甚至將硬件錢包用于冷存儲。”

Shapeshift在2月份通過固件更新修復了KeepKey錢包中的一個漏洞。Coinkite的Coldcard Mk2錢包中的硬件缺陷仍然存在，但在該公司目前的Coldcard型號Mk3中已修復。研究人員將在6月份的法國安全會議SSTIC上展示他們對Mk2的攻擊。[2020/5/19]

本次攻擊具有蠕蟲式的擴散傳播能力，可下載安裝后門、執行任意命令，發起DDoS攻擊，對受害單位網絡信息系統安全構成嚴重影響。建議用戶盡快修復HadoopYarnRESTAPI未授權命令執行漏洞，避免采用弱口令，采用騰訊安全的技術方案檢測系統，清除威脅。

Tags：WOROLEWORMORMThreshold NetworkSolendWormFiTERRAFORM幣

酷幣交易所