據The Hacker News網站消息,威脅情報和事件響應公司 Mandiant發現,一個未知的黑客組織部署了以Oracle Solaris 系統為目标的新型Rootkit,其目的是破壞ATM網絡,并使用虛假的銀行卡在不同的銀行進行未經授權的取款。
Mandiant正在跟蹤代号名為 UNC2891 的黑客群體,懷疑他們可能就是幕後黑手,并且該組織的一些政策、技術和程式與另一個名為UNC1945的團隊高度重合。
Mandiant研究人員在上周釋出的一份報告中表示,攻擊者發起的入侵涉及OPSEC,并利用公共和私人惡意軟體、實用程式和腳本來删除證據并阻礙響應工作。更令人擔憂的是,在某些情況下,攻擊持續的時間很長。攻擊者曾長期通過利用名為 CAKETAP 的 Rootkit 隐藏網絡連接配接、程序和檔案。
研究人員從其中一台受害的 ATM 交換機伺服器中恢複了記憶體驗證資料,指出核心 Rootkit 的一種變體具有特殊功能,能夠攔截卡和 PIN 驗證,并使用被盜資料執從 ATM 終端取款。此外,該Rootkit還使用兩個稱為 SLAPSTICK 和 TINYSHELL 的後門,它們都歸因于 UNC1945,用于通過 rlogin、telnet 或 SSH 獲得對關鍵任務系統的持久遠端通路、shell 執行和檔案傳輸。
研究人員指出:“根據該組織對基于 Unix 和 Linux 的系統的熟悉程度,UNC2891 經常使用僞裝成合法服務的值命名和配置他們的 TINYSHELL 後門,這些值可能會被調查人員忽略,例如 systemd (SYSTEMD)、名稱服務緩存守護程序 (NCSD) ,以及 Linux at daemon (ATD)。”
攻擊鍊使用了各種惡意軟體和公開可用的實用程式,包括:
STEELHOUND – STEELCORGI in-memory dropper 的變體,用于解密嵌入式有效負載并加密新的二進制檔案;
WINGHOOK – 基于 Linux 和 Unix 的作業系統的鍵盤記錄器,以編碼格式捕獲資料;
WINGCRACK – 用于解析 WINHOOK 生成的編碼内容的實用程式;
WIPERIGHT – 一個ELF 實用程式,用于擦除與基于 Linux 和 Unix 的系統上的特定使用者有關的日志條目;
MIGLOGCLEANER – 一種ELF 實用程式,可在基于 Linux 和 Unix 的系統上擦除日志或從日志中删除某些字元串。
“UNC2891憑借他們的技能和經驗,能夠充分利用Unix和Linux系統環境中安全措施的缺陷,”研究人員說,“雖然 UNC2891 和 UNC1945 兩個組織之間具有相似性,但将入侵歸因于同一組織的證據還不夠确鑿。”
參考來源
https://thehackernews.com/2022/03/hackers-target-bank-networks-with-new.html