Hackers richten zich op banknetwerken met nieuwe rootkit om geld van geldautomaten te stelen

Guichets automatiques Nachrichten

Er is waargenomen dat een financieel gemotiveerde dreigingsactor een voorheen onbekende rootkit inzet die gericht was op Oracle Solaris-systemen met als doel het compromitteren van geldautomaten (ATM)-schakelnetwerken en het uitvoeren van ongeautoriseerde geldopnames bij verschillende banken met behulp van frauduleuze kaarten.

Threat intelligence en incident response-bedrijf Mandiant volgt het cluster onder de naam UNC2891, waarbij sommige tactieken, technieken en procedures van de groep overlap vertonen met die van een ander cluster genaamd UNC1945.

De door de acteur geënsceneerde inbreuken omvatten “een hoge mate van OPSEC en maken gebruik van zowel openbare als particuliere malware, hulpprogramma’s en scripts om bewijsmateriaal te verwijderen en reactie-inspanningen te belemmeren”, onderzoekers van Mandiant. zei in een nieuw rapport dat deze week is gepubliceerd.

Nog zorgwekkender is dat de aanvallen in sommige gevallen meerdere jaren duurden, gedurende het geheel waarvan de acteur onopgemerkt bleef door gebruik te maken van een rootkit genaamd CAKETAP, die is ontworpen om netwerkverbindingen, processen en bestanden te verbergen.

Mandiant, die in staat was om forensische geheugengegevens te herstellen van een van de getroffen ATM-switchservers, merkte op dat een variant van de kernelrootkit werd geleverd met gespecialiseerde functies waarmee het kaart- en pincodeverificatieberichten kon onderscheppen en de gestolen gegevens kon gebruiken om frauduleus geld uit te voeren. geldopnames bij geldautomaten.

Rootkit voor geldautomaten

Er worden ook twee achterdeuren gebruikt, bekend als SLAPSTICK en TINYSHELL, beide toegeschreven aan UNC1945 en worden gebruikt om permanente toegang op afstand tot bedrijfskritieke systemen te krijgen, evenals shell-uitvoering en bestandsoverdracht via rlogin, telnet of SSH.

“In overeenstemming met de bekendheid van de groep met op Unix en Linux gebaseerde systemen, noemde en configureerde UNC2891 hun TINYSHELL-backdoors vaak met waarden die zich voordeden als legitieme services die mogelijk over het hoofd worden gezien door onderzoekers, zoals systemd (SYSTEMD), name service cache daemon (NCSD) , en de Linux at daemon (ATD), “merkten de onderzoekers op.

Bovendien werden de aanvalsketens opgemerkt met behulp van een verscheidenheid aan malware en openbaar beschikbare hulpprogramma’s, waaronder:

  • STEELHOUND – Een variant van de STEELCORGI in-memory dropper die wordt gebruikt om een ​​embedded payload te decoderen en nieuwe binaire bestanden te coderen
  • WINGHOOK – Een keylogger voor op Linux en Unix gebaseerde besturingssystemen die de gegevens vastlegt in een gecodeerd formaat
  • WINGCRACK – Een hulpprogramma dat wordt gebruikt om de gecodeerde inhoud te ontleden die is gegenereerd door WINGHOOK
  • WIPERRECHT – An ELF-hulpprogramma dat logboekvermeldingen wist die betrekking hebben op een specifieke gebruiker op Linux- en Unix-gebaseerde systemen
  • MIGLOGCLEANER – An ELF-hulpprogramma dat logboeken wist of bepaalde tekenreeksen uit logboeken verwijdert op Linux- en Unix-gebaseerde systemen

“[UNC2891] gebruikt hun vaardigheden en ervaring om optimaal te profiteren van de verminderde zichtbaarheid en veiligheidsmaatregelen die vaak aanwezig zijn in Unix- en Linux-omgevingen”, aldus de onderzoekers. “Hoewel sommige van de overlappingen tussen UNC2891 en UNC1945 opmerkelijk zijn, is het niet overtuigend genoeg om schrijven de inbraken toe aan een enkele dreigingsgroep.”

David
Rate author
Hackarizona