据TheHackerNews网站报道,威胁情报和事件响应公司Mandiant发现,一个不知名的黑客组织部署了一个针对OracleSolaris系统的新Rootkit,目的是破坏ATM网络,并未经授权使用假银行卡在不同银行取款。Mandiant正在追踪一个代号为UNC2891的黑客组织,怀疑他们可能是幕后黑手,该组织的一些策略、技术和程序与另一个名为UNC1945的组织高度重叠。在上周发布的一份报告中,Mandiant研究人员表示,攻击者发起的入侵涉及OPSEC,并利用公共和私人恶意软件、实用程序和脚本来删除证据并阻碍响应工作。更令人担忧的是,在某些情况下,攻击时间会延长。攻击者长期以来一直使用名为CAKETAP的rootkit来隐藏网络连接、进程和文件。研究人员从其中一台受感染的ATM交换机服务器中恢复了内存取证数据,指向具有特殊功能的内核rootkit变体,能够拦截卡和PIN验证,并使用被盗数据从ATM终端执行取款。此外,rootkit使用两个名为SLAPSTICK和TINYSHELL的后门,这两个后门都归因于UNC1945,以通过rlogin、telnet或SSH获得对关键任务系统的持久远程访问、shell执行和文件传输。“基于该组织对基于Unix和Linux的系统的熟悉程度,UNC2891经常使用伪装成可能被调查人员忽略的合法服务的值来命名和配置他们的TINYSHELL后门,例如systemd(SYSTEMD),NameServiceCachingDaemon(NCSD),以及Linuxatdaemon(ATD)。攻击链使用各种恶意软件和公开可用的实用程序,包括:WINGHOOK——一个基于Linux和Unix的操作系统键盘记录器,以编码格式捕获数据;WINGCRACK–用于解析WINHOOK生成的编码内容的实用程序;WIPERIGHT–用于擦除日志条目的ELF实用程序;MIGLOGCLEANER-一种ELF实用程序,可在基于Linux和Unix的系统上擦除日志或从日志中删除某些字符串。“UNC2891凭借他们的技能和经验,能够充分利用Unix和Linux系统环境中安全措施的缺陷,”研究人员说。“虽然UNC2891和UNC1945这两个群体之间存在相似之处,但将入侵归因于同一群体的证据并不确凿。”参考来源:https://thehackernews.com/2022/03/hackers-target-bank-networks-with-new.html
