黑客使用新的Rootkit从银行ATM窃取资金

威胁情报和事件响应公司Mandiant正在跟踪名为UNC2891的集群，该组织的一些战术、技术和程序与另一个名为UNC1945的集群高度重合。

Mandiant研究人员在上周发布的一份新报告中称，攻击者发起的入侵涉及OPSEC，并利用公共和私人恶意软件、实用程序和脚本来删除证据并阻碍响应工作。更令人担忧的是，在某些情况下，攻击持续了几年，在整个过程中，参与者通过利用一个名为CAKETAP的rootkit仍然未被发现，该rootkit旨在隐藏网络连接、进程和文件。

Mandiant能够从一个受害的ATM交换机服务器中恢复内存取证数据，Mandiant指出，内核rootkit的一个变种具有特殊功能，使其能够拦截卡和PIN验证消息，并使用被盗数据从ATM终端进行欺诈性取现。

命令控件示例如下：

此外，还发现了两个被称为SLAPSTICK和TINYSHELL的后门，这两个后门都是由UNC1945提供的，用于通过rlogin、telnet或SSH获得对关键任务系统的持久远程访问，以及shell执行和文件传输。

研究人员指出：“由于该小组熟悉基于Unix和Linux的系统，UNC2891经常使用伪装成合法服务的值来命名和配置TINYSHELL后门，这些服务可能会被调查人员忽略，例如systemd（systemd）、name service cache daemon（NCSD）和Linux at daemon（ATD）。”。

通过部署在操作系统服务器上接收远程命令和配置

LightBasin的新rootkit是一个名为“Caketap”的Unix内核模块，部署在运行Oracle Solaris操作系统的服务器上。加载后，Caketap隐藏网络连接、进程和文件，同时将几个挂钩安装到系统函数中以接收远程命令和配置。分析师观察到的命令如下：

• 将CAKETAP模块添加回加载的模块列表
• 更改getdents64挂钩的信号字符串
• 添加网络过滤器（格式p）
• 删除网络过滤器
• 将当前线程TTY设置为不被getdents64钩子过滤
• 将所有TTY设置为由getdents64挂钩过滤

显示当前配置

Caketap的最终目标是从被破坏的ATM交换机服务器中截获银行卡和PIN验证数据，然后使用被盗数据进行未经授权的交易。

Caketap截获的消息发往支付硬件安全模块(HSM)，这是一种防篡改硬件设备，用于银行业，用于生成、管理和验证PIN、磁条和EMV芯片的加密密钥。

Caketap操纵卡验证消息来破坏流程，阻止那些匹配欺诈性银行卡的消息，并生成有效响应。

在第二阶段，它会在内部保存与非欺诈性PAN（主帐号）匹配的有效消息，并将其发送到HSM，这样常规客户交易就不会受到影响，并且植入操作保持隐秘。

攻击链使用了各种恶意软件和公开可用的实用程序，包括：

• 1.STEELHOUND–STEELCORGI in-memory dropper的变体，用于解密嵌入式有效负载并加密新的二进制文件；
• 2.WINGHOOK–基于Linux和Unix的操作系统的键盘记录器，以编码格式捕获数据；
• 3.WINGCRACK–用于解析WINHOOK生成的编码内容的实用程序；
• 4.WIPERIGHT–一个ELF实用程序，用于擦除与基于Linux和Unix的系统上的特定用户有关的日志条目；
• 5.MIGLOGCLEANER–一种ELF实用程序，可在基于Linux和Unix的系统上擦除日志或从日志中删除某些字符串。

“UNC2891凭借他们的技能和经验，能够充分利用Unix和Linux系统环境中安全措施的缺陷，”研究人员说，“虽然UNC2891和UNC1945两个组织之间具有相似性，但将入侵归因于同一组织的证据还不够确凿。”