黑客用新 Rootkit 攻击银行网络从 ATM 机上窃取资金

Hackernews 编译，转载请注明出处：

http://hackernews.cc/wp-content/uploads/2022/03/atm-hacking-600x313.jpg

据观察，一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit，目的是ATM机网络，并在不同银行使用伪造的卡进行未经授权的现金提款。

威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织，该组织的一些战术、技术和程序共享与另一个名为UNC1945的组织有相似之处。

Mandiant 公司的研究人员在本周发布的一份新报告中称，这名演员进行的入侵涉及“高度的 OPSEC，利用公共和私人恶意软件、公用程序和脚本来移除证据，阻碍应急行动。”

更令人担忧的是，在某些案例中，这些攻击持续了几年，在整个过程中，黑客利用一个名为 CAKETAP 的 rootkit ，且仍未被发现，这个 rootkit 被设计用来隐藏网络连接、进程和文件。

Mandiant 公司能够从受害的 ATM 交换服务器中恢复内存检测数据，该公司指出，内核 rootkit 的一种变体具有专门功能，使其能够拦截卡和 PIN 验证信息，并使用被盗数据从 ATM 终端进行欺诈性的现金提款。

同时使用的还有两个后门，即 SLAPSTICK 和 TINYSHELL，它们都属于 UNC1945，用于获得对任务关键系统的持久远程访问，以及通过 rlogin、 telnet 或 SSH 进行 shell 执行和文件传输。

研究人员指出: “由于该组织熟悉基于 Unix 和 Linux 的系统，unc2891经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门，这些值可能会被检测人员忽略，比如 systemd (SYSTEMD)、名称服务缓存守护进程(NCSD)和 Linux at 守护进程(ATD)。”

此外，攻击链使用了各种恶意软件和公开可用的实用程序，包括-

• STEELHOUND —— STEELCORGI 内存植入的变体，用于解密嵌入式有效载荷和加密新的二进制文件
• WINGHOOK-一个基于 Linux 和 Unix 操作系统的键盘记录程序，以编码格式捕获数据
• WINGCRACK-一个实用程序，用于解析由 WINGHOOK 生成的编码内容
• Wiperiight ——一个 ELF 实用程序，用于删除基于 Linux 和 Unix 系统上属于特定用户的日志条目
• MIGLOGCLEANER ——一个在基于 Linux 和 Unix 的系统上清除日志或删除某些字符串的 ELF 实用程序

研究人员说: “ UNC2891使用他们的技术和经验来充分利用 Unix 和 Linux 环境中经常出现的不明显的安全措施。”“虽然 UNC2891和 UNC1945之间的一些相似度是显而易见的，但不足以确定入侵是同一个威胁组织所为。”

消息来源：TheHackerNews，译者：Zoeppo；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文