新的Unix rootkit用來竊取ATM銀行資料

在LightBasin(一個以金錢為動機的駭客組織)的活動之後，威脅分析師報告稱，他們發現了一個以前不為人知的Unix rootkit，用於竊取ATM銀行資料和進行欺詐交易。

最近觀察到特定的攻擊群體針對定製植入物的電信公司，早在2020年，他們被發現危害託管服務提供商並使其客戶受害。

透過最近的觀察，研究人員發現LightBasin活動重點關注銀行卡欺詐和關鍵系統的入侵。

利用您的銀行資料

LightBasin的新rootkit是一個名為“Caketap”的Unix核心模組，部署在執行Oracle Solaris作業系統的伺服器上。

載入時，Caketap隱藏網路連線、程式和檔案，同時將幾個鉤子安裝到系統函式中以接收遠端命令和配置。

分析師觀察到的命令如下：

將 CAKETAP 模組新增回載入的模組列表

更改 getdents64 掛鉤的訊號字串

新增一個網路過濾器(格式 p)

刪除網路過濾器

將當前執行緒 TTY 設定為不被 getdents64 鉤子過濾

將所有 TTY 設定為由 getdents64 掛鉤過濾

顯示當前配置

Caketap的最終目標是攔截被入侵的ATM交換機伺服器上的銀行卡和PIN驗證資料，然後利用被盜的資料為未經授權的交易提供便利。

Caketap 截獲的訊息發往支付硬體安全模組 (HSM)，這是一種防篡改硬體裝置，在銀行業用於生成、管理和驗證pin、磁條和EMV晶片的金鑰。

Caketap 操縱卡片驗證訊息來破壞流程，阻止那些匹配欺詐性銀行卡的訊息，並生成有效響應。

在第二階段，它會在內部儲存與非欺詐的主要賬號(Primary Account Numbers)匹配的有效訊息，並將它們傳送給HSM，這樣常規的客戶交易就不會受到影響，植入操作也保持隱秘。

研究人員在報告中解釋說:“我們認為，UNC2891 (LightBasin)利用CAKETAP，成功地利用虛假銀行卡從多家銀行的 ATM 終端進行未經授權的現金提取，這是他們大型活動中的一部分。”

在之前的攻擊中與攻擊者相關的其他工具包括Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight和Mignogcleaner，所有這些工具都被Mandiant證實仍在LightBasin攻擊中使用。

精準定位

LightBasin是一個非常熟練的威脅參與者，它利用了任務關鍵型Unix和Linux系統中寬鬆的安全性，這些系統通常被視為本質上是安全的，或者由於它們的隱蔽性而在很大程度上被忽視。

金融領域一直廣受網路犯罪分子關注，不斷出現新惡意軟體不但為查殺系統增加難度，而且也為金融業網路安全和資料安全帶來很大威脅。為了降低金融行業網路系統的相關風險，企業除了在做好查殺和安全防禦措施之外，更應重視在底層軟體在技術方面的安全建設。尤其軟體安全是網路安全最基礎防線，在軟體開發過程中重視程式碼缺陷等問題，利用 靜態程式碼檢測等自動化技術，加強程式碼安全建設及漏洞檢測，來提升軟體自身安全性，為網路安全築牢根基，從而降低金融機構遭到網路攻擊的風險。