新的Unix rootkit用來竊取ATM銀行資料
在LightBasin(一個以金錢為動機的駭客組織)的活動之後,威脅分析師報告稱,他們發現了一個以前不為人知的Unix rootkit,用於竊取ATM銀行資料和進行欺詐交易。
最近觀察到特定的攻擊群體針對定製植入物的電信公司,早在2020年,他們被發現危害託管服務提供商並使其客戶受害。
透過最近的觀察,研究人員發現LightBasin活動重點關注銀行卡欺詐和關鍵系統的入侵。
利用您的銀行資料
LightBasin的新rootkit是一個名為“Caketap”的Unix核心模組,部署在執行Oracle Solaris作業系統的伺服器上。
載入時,Caketap隱藏網路連線、程式和檔案,同時將幾個鉤子安裝到系統函式中以接收遠端命令和配置。
分析師觀察到的命令如下:
將 CAKETAP 模組新增回載入的模組列表
更改 getdents64 掛鉤的訊號字串
新增一個網路過濾器(格式 p)
刪除網路過濾器
將當前執行緒 TTY 設定為不被 getdents64 鉤子過濾
將所有 TTY 設定為由 getdents64 掛鉤過濾
顯示當前配置
Caketap的最終目標是攔截被入侵的ATM交換機伺服器上的銀行卡和PIN驗證資料,然後利用被盜的資料為未經授權的交易提供便利。
Caketap 截獲的訊息發往支付硬體安全模組 (HSM),這是一種防篡改硬體裝置,在銀行業用於生成、管理和驗證pin、磁條和EMV晶片的金鑰。
Caketap 操縱卡片驗證訊息來破壞流程,阻止那些匹配欺詐性銀行卡的訊息,並生成有效響應。
在第二階段,它會在內部儲存與非欺詐的主要賬號(Primary Account Numbers)匹配的有效訊息,並將它們傳送給HSM,這樣常規的客戶交易就不會受到影響,植入操作也保持隱秘。
研究人員在報告中解釋說:“我們認為,UNC2891 (LightBasin)利用CAKETAP,成功地利用虛假銀行卡從多家銀行的 ATM 終端進行未經授權的現金提取,這是他們大型活動中的一部分。”
在之前的攻擊中與攻擊者相關的其他工具包括Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight和Mignogcleaner,所有這些工具都被Mandiant證實仍在LightBasin攻擊中使用。
精準定位
LightBasin是一個非常熟練的威脅參與者,它利用了任務關鍵型Unix和Linux系統中寬鬆的安全性,這些系統通常被視為本質上是安全的,或者由於它們的隱蔽性而在很大程度上被忽視。
金融領域一直廣受網路犯罪分子關注,不斷出現新惡意軟體不但為查殺系統增加難度,而且也為金融業網路安全和資料安全帶來很大威脅。為了降低金融行業網路系統的相關風險,企業除了在做好查殺和安全防禦措施之外,更應重視在底層軟體在技術方面的安全建設。尤其軟體安全是網路安全最基礎防線,在軟體開發過程中重視程式碼缺陷等問題,利用 靜態程式碼檢測等自動化技術,加強程式碼安全建設及漏洞檢測,來提升軟體自身安全性,為網路安全築牢根基,從而降低金融機構遭到網路攻擊的風險。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2882738/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 銀行ATM取款機流程
- 黑客如何竊取花旗銀行的客戶資訊黑客
- 微軟發現惡意 npm 軟體包,可從 UNIX 系統竊取資料微軟NPM
- XSS 從 PDF 中竊取資料
- 什麼是銀行資料治理?如何進行有效的銀行領域的實際應用?
- 從大資料徵信看銀行風險控制創新大資料
- 加密技術解決資料被竊取加密
- 美國史上最大銀行入侵案告破:8300萬使用者資料遭竊
- 首款破解 2FA 的 Android 惡意程式曝光:可竊取銀行帳號Android
- 如何有效防止網站資料被竊取、篡改?網站
- 銀行業大資料行業大資料
- 銀行業資料革命行業
- 加拿大兩大銀行遭黑客攻擊 近9萬名客戶資料被竊黑客
- 英國繼銀行被竊之後信貸公司Wonga數十萬客戶資料被洩
- 軟體工程作業--ATM自助銀行服務系統軟體工程
- 前亞馬遜僱員被控竊取一億第一資本銀行使用者資訊亞馬遜
- 新聞行業的未來:靠資料驅動行業
- 荷蘭銀行構建可擴充套件的後設資料驅動的資料攝取框架套件框架
- 斯諾登用爬蟲竊取NSA伺服器資料爬蟲伺服器
- 建立銀行資料庫bankDB資料庫
- 俄黑客入侵美民主黨資料庫竊取川普研究資料黑客資料庫
- 竊取終端資料成本低,謹防Formbook惡意軟體入侵竊密ORM
- 大資料時代,銀行如何應用商業智慧BI?大資料
- 懸賞五百萬抓捕的俄羅斯黑客,被指控使用銀行木馬竊取超過1億美元黑客
- 如何用計算機電源竊取機密資料?計算機
- AgentTesla 2021年度資料竊取情況報告
- 絲芙蘭資料洩露事件涉及東南亞和澳新銀行的客戶事件
- 微軟:不威脅洩漏資料的勒索軟體幫派仍然會竊取資料微軟
- 銀行大資料新玩法,構建“一湖兩庫”金融資料湖大資料
- 富國銀行資料中心冒出濃煙 信用卡、ATM與網銀停止工作
- 大資料叢集被竊取資料怎麼辦?透明加密可以一試大資料加密
- 用.NET新提供的managedprovider來訪問Oracle資料(轉)IDEOracle
- 全球最大社交新聞站點Reddit證實,其原始碼和內部資料遭竊取原始碼
- DataFloq:37%的銀行已經部署大資料大資料
- 用R讀取PDF並進行資料探勘
- 臺灣第一銀行ATM機“自動吐錢”事件分析事件
- 微眾銀行:2020資料新基建白皮書(附下載)
- 網商銀行資料庫迭代記,OceanBase助力金融創新實踐資料庫