Linux系统的零日漏洞Rootkit曝光,用于攻击ATM机窃取现金

黑客将银行网络与新的rootkit定位,从ATM机窃取资金

最近的网络安全研究中发现,一个此前未知的针对 Oracle Solaris 系统的 rootkit 被在野利用,其目标是破坏自动柜员机 (ATM) 的交换网络,并使用假的银行卡在ATM机上进行未经授权的现金提取。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该攻击事件可能由名为 UNC2891 的网络犯罪团队所为,该组织的一些策略、技术和程序与另一个名为UNC1945的团队高度重叠。

在某些情况下,攻击跨越数年,在整个过程中,攻击者通过利用名为 CAKETAP 的 rootkit 仍未被发现,该 rootkit 旨在隐藏网络连接、进程和文件。

安全研究人员能够从其中一台受害的 ATM 交换机服务器中恢复内存取证数据,并指出内核 rootkit 的一种变体具有特殊功能,使其能够拦截卡和 PIN 验证消息并使用被盗数据执行欺诈性现金从 ATM 终端取款。

黑客将银行网络与新的rootkit定位,从ATM机窃取资金

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,在该攻击事件中还使用了两个称为 SLAPSTICK 和 TINYSHELL 的后门,它们都归属于 UNC1945 组织,用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问以及 shell 执行和文件传输。

根据该组织对基于 Unix 和 Linux 的系统的熟悉程度,UNC2891 经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被调查人员忽略。

此外,攻击链使用了其他恶意软件和公开可用的实用程序,包括:

  • STEELHOUND – STEELCORGI in-memory dropper 的变体,用于解密嵌入式有效负载并加密新的二进制文件。
  • WINGHOOK – 基于 Linux 和 Unix 的操作系统的键盘记录器,以编码格式捕获数据。
  • WINGCRACK – 用于解析 WINHOOK 生成的编码内容的实用程序。
  • WIPERIGHT – 一个ELF 实用程序,用于擦除与基于 Linux 和 Unix 的系统上的特定用户有关的日志条目。
  • MIGLOGCLEANER – 一种ELF 实用程序,可在基于 Linux 和 Unix 的系统上擦除日志或从日志中删除某些字符串。

UNC2891组织利用他们的技能和经验,充分利用 Unix 和 Linux 环境中经常出现的安全措施。虽然 UNC2891 和 UNC1945 之间的一些重叠是值得注意的,但将入侵归因于同一个恶意团伙目前的证据还不够确凿。

 

Linux系统的零日漏洞Rootkit曝光,用于攻击ATM机窃取现金

极牛网精选文章《Linux系统的零日漏洞Rootkit曝光,用于攻击ATM机窃取现金》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18608.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年3月19日 上午10:58
下一篇 2022年3月20日 上午11:42

相关推荐

发表回复

登录后才能评论