據(jù)The Hacker News網(wǎng)站消息，威脅情報和事件響應(yīng)公司 Mandiant發(fā)現(xiàn)，一個未知的黑客組織部署了以O(shè)racle Solaris 系統(tǒng)為目標(biāo)的新型Rootkit，其目的是破壞ATM網(wǎng)絡(luò)，并使用虛假的銀行卡在不同的銀行進(jìn)行未經(jīng)授權(quán)的取款。

Mandiant正在跟蹤代號名為 UNC2891 的黑客群體，懷疑他們可能就是幕后黑手，并且該組織的一些策略、技術(shù)和程序與另一個名為UNC1945的團(tuán)隊高度重合。

Mandiant研究人員在上周發(fā)布的一份報告中表示，攻擊者發(fā)起的入侵涉及OPSEC，并利用公共和私人惡意軟件、實(shí)用程序和腳本來刪除證據(jù)并阻礙響應(yīng)工作。更令人擔(dān)憂的是，在某些情況下，攻擊持續(xù)的時間很長。攻擊者曾長期通過利用名為 CAKETAP 的 Rootkit 隱藏網(wǎng)絡(luò)連接、進(jìn)程和文件。

研究人員從其中一臺受害的 ATM 交換機(jī)服務(wù)器中恢復(fù)了內(nèi)存取證數(shù)據(jù)，指出內(nèi)核 Rootkit 的一種變體具有特殊功能，能夠攔截卡和 PIN 驗(yàn)證，并使用被盜數(shù)據(jù)執(zhí)從 ATM 終端取款。此外，該Rootkit還使用兩個稱為 SLAPSTICK 和 TINYSHELL 的后門，它們都?xì)w因于 UNC1945，用于通過 rlogin、telnet 或 SSH 獲得對關(guān)鍵任務(wù)系統(tǒng)的持久遠(yuǎn)程訪問、shell 執(zhí)行和文件傳輸。

研究人員指出：“根據(jù)該組織對基于 Unix 和 Linux 的系統(tǒng)的熟悉程度，UNC2891 經(jīng)常使用偽裝成合法服務(wù)的值命名和配置他們的 TINYSHELL 后門，這些值可能會被調(diào)查人員忽略，例如 systemd (SYSTEMD)、名稱服務(wù)緩存守護(hù)進(jìn)程 (NCSD) ，以及 Linux at daemon (ATD)?！?/p>

攻擊鏈?zhǔn)褂昧烁鞣N惡意軟件和公開可用的實(shí)用程序，包括：

• STEELHOUND – STEELCORGI in-memory dropper 的變體，用于解密嵌入式有效負(fù)載并加密新的二進(jìn)制文件；
• WINGHOOK – 基于 Linux 和 Unix 的操作系統(tǒng)的鍵盤記錄器，以編碼格式捕獲數(shù)據(jù)；
• WINGCRACK – 用于解析 WINHOOK 生成的編碼內(nèi)容的實(shí)用程序；
• WIPERIGHT – 一個ELF 實(shí)用程序，用于擦除與基于 Linux 和 Unix 的系統(tǒng)上的特定用戶有關(guān)的日志條目；
• MIGLOGCLEANER – 一種ELF 實(shí)用程序，可在基于 Linux 和 Unix 的系統(tǒng)上擦除日志或從日志中刪除某些字符串。

“UNC2891憑借他們的技能和經(jīng)驗(yàn)，能夠充分利用Unix和Linux系統(tǒng)環(huán)境中安全措施的缺陷，“研究人員說?！彪m然 UNC2891 和 UNC1945 兩個組織之間具有相似性，但將入侵歸因于同一組織的證據(jù)還不夠確鑿?！?/p>

參考來源：https://thehackernews.com/2022/03/hackers-target-bank-networks-with-new.html