新的Unix rootkit用來竊取ATM銀行資料

zktq2021發表於2022-03-22

在LightBasin(一個以金錢為動機的駭客組織)的活動之後,威脅分析師報告稱,他們發現了一個以前不為人知的Unix rootkit,用於竊取ATM銀行資料和進行欺詐交易。

最近觀察到特定的攻擊群體針對定製植入物的電信公司,早在2020年,他們被發現危害託管服務提供商並使其客戶受害。

透過最近的觀察,研究人員發現LightBasin活動重點關注銀行卡欺詐和關鍵系統的入侵。

利用您的銀行資料

LightBasin的新rootkit是一個名為“Caketap”的Unix核心模組,部署在執行Oracle Solaris作業系統的伺服器上。

載入時,Caketap隱藏網路連線、程式和檔案,同時將幾個鉤子安裝到系統函式中以接收遠端命令和配置。

分析師觀察到的命令如下:

將 CAKETAP 模組新增回載入的模組列表

更改 getdents64 掛鉤的訊號字串

新增一個網路過濾器(格式 p)

刪除網路過濾器

將當前執行緒 TTY 設定為不被 getdents64 鉤子過濾

將所有 TTY 設定為由 getdents64 掛鉤過濾

顯示當前配置

Caketap的最終目標是攔截被入侵的ATM交換機伺服器上的銀行卡和PIN驗證資料,然後利用被盜的資料為未經授權的交易提供便利。

Caketap 截獲的訊息發往支付硬體安全模組 (HSM),這是一種防篡改硬體裝置,在銀行業用於生成、管理和驗證pin、磁條和EMV晶片的金鑰。

Caketap 操縱卡片驗證訊息來破壞流程,阻止那些匹配欺詐性銀行卡的訊息,並生成有效響應。

在第二階段,它會在內部儲存與非欺詐的主要賬號(Primary Account Numbers)匹配的有效訊息,並將它們傳送給HSM,這樣常規的客戶交易就不會受到影響,植入操作也保持隱秘。

研究人員在報告中解釋說:“我們認為,UNC2891 (LightBasin)利用CAKETAP,成功地利用虛假銀行卡從多家銀行的 ATM 終端進行未經授權的現金提取,這是他們大型活動中的一部分。”

在之前的攻擊中與攻擊者相關的其他工具包括Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight和Mignogcleaner,所有這些工具都被Mandiant證實仍在LightBasin攻擊中使用。

精準定位

LightBasin是一個非常熟練的威脅參與者,它利用了任務關鍵型Unix和Linux系統中寬鬆的安全性,這些系統通常被視為本質上是安全的,或者由於它們的隱蔽性而在很大程度上被忽視。

金融領域一直廣受網路犯罪分子關注,不斷出現新惡意軟體不但為查殺系統增加難度,而且也為金融業網路安全和資料安全帶來很大威脅。為了降低金融行業網路系統的相關風險,企業除了在做好查殺和安全防禦措施之外,更應重視在底層軟體在技術方面的安全建設。尤其軟體安全是網路安全最基礎防線,在軟體開發過程中重視程式碼缺陷等問題,利用 靜態程式碼檢測等自動化技術,加強程式碼安全建設及漏洞檢測,來提升軟體自身安全性,為網路安全築牢根基,從而降低金融機構遭到網路攻擊的風險。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2882738/,如需轉載,請註明出處,否則將追究法律責任。

相關文章