Linux系统的零日漏洞Rootkit曝光，用于攻击ATM机窃取现金

最近的网络安全研究中发现，一个此前未知的针对 Oracle Solaris 系统的 rootkit 被在野利用，其目标是破坏自动柜员机 (ATM) 的交换网络，并使用假的银行卡在ATM机上进行未经授权的现金提取。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该攻击事件可能由名为 UNC2891 的网络犯罪团队所为，该组织的一些策略、技术和程序与另一个名为UNC1945的团队高度重叠。

在某些情况下，攻击跨越数年，在整个过程中，攻击者通过利用名为 CAKETAP 的 rootkit 仍未被发现，该 rootkit 旨在隐藏网络连接、进程和文件。

安全研究人员能够从其中一台受害的 ATM 交换机服务器中恢复内存取证数据，并指出内核 rootkit 的一种变体具有特殊功能，使其能够拦截卡和 PIN 验证消息并使用被盗数据执行欺诈性现金从 ATM 终端取款。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，在该攻击事件中还使用了两个称为 SLAPSTICK 和 TINYSHELL 的后门，它们都归属于 UNC1945 组织，用于通过 rlogin、telnet 或 SSH 获得对关键任务系统的持久远程访问以及 shell 执行和文件传输。

根据该组织对基于 Unix 和 Linux 的系统的熟悉程度，UNC2891 经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门，这些值可能会被调查人员忽略。

此外，攻击链使用了其他恶意软件和公开可用的实用程序，包括：

• STEELHOUND – STEELCORGI in-memory dropper 的变体，用于解密嵌入式有效负载并加密新的二进制文件。
• WINGHOOK – 基于 Linux 和 Unix 的操作系统的键盘记录器，以编码格式捕获数据。
• WINGCRACK – 用于解析 WINHOOK 生成的编码内容的实用程序。
• WIPERIGHT – 一个ELF 实用程序，用于擦除与基于 Linux 和 Unix 的系统上的特定用户有关的日志条目。
• MIGLOGCLEANER – 一种ELF 实用程序，可在基于 Linux 和 Unix 的系统上擦除日志或从日志中删除某些字符串。

UNC2891组织利用他们的技能和经验，充分利用 Unix 和 Linux 环境中经常出现的安全措施。虽然 UNC2891 和 UNC1945 之间的一些重叠是值得注意的，但将入侵归因于同一个恶意团伙目前的证据还不够确凿。