據(jù)The Hacker News網(wǎng)站消息，威脅情報(bào)和事件響應(yīng)公司 Mandiant發(fā)現(xiàn)，一個(gè)未知的黑客組織部署了以O(shè)racle Solaris 系統(tǒng)為目標(biāo)的新型Rootkit，其目的是破壞ATM網(wǎng)絡(luò)，并使用虛假的銀行卡在不同的銀行進(jìn)行未經(jīng)授權(quán)的取款。

Mandiant正在跟蹤代號(hào)名為 UNC2891 的黑客群體，懷疑他們可能就是幕后黑手，并且該組織的一些策略、技術(shù)和程序與另一個(gè)名為UNC1945的團(tuán)隊(duì)高度重合。

Mandiant研究人員在上周發(fā)布的一份報(bào)告中表示，攻擊者發(fā)起的入侵涉及OPSEC，并利用公共和私人惡意軟件、實(shí)用程序和腳本來(lái)刪除證據(jù)并阻礙響應(yīng)工作。更令人擔(dān)憂的是，在某些情況下，攻擊持續(xù)的時(shí)間很長(zhǎng)。攻擊者曾長(zhǎng)期通過(guò)利用名為 CAKETAP 的 Rootkit 隱藏網(wǎng)絡(luò)連接、進(jìn)程和文件。

研究人員從其中一臺(tái)受害的 ATM 交換機(jī)服務(wù)器中恢復(fù)了內(nèi)存取證數(shù)據(jù)，指出內(nèi)核 Rootkit 的一種變體具有特殊功能，能夠攔截卡和 PIN 驗(yàn)證，并使用被盜數(shù)據(jù)執(zhí)從 ATM 終端取款。此外，該Rootkit還使用兩個(gè)稱為 SLAPSTICK 和 TINYSHELL 的后門，它們都?xì)w因于 UNC1945，用于通過(guò) rlogin、telnet 或 SSH 獲得對(duì)關(guān)鍵任務(wù)系統(tǒng)的持久遠(yuǎn)程訪問(wèn)、shell 執(zhí)行和文件傳輸。

研究人員指出：“根據(jù)該組織對(duì)基于 Unix 和 Linux 的系統(tǒng)的熟悉程度，UNC2891 經(jīng)常使用偽裝成合法服務(wù)的值命名和配置他們的 TINYSHELL 后門，這些值可能會(huì)被調(diào)查人員忽略，例如 systemd (SYSTEMD)、名稱服務(wù)緩存守護(hù)進(jìn)程 (NCSD) ，以及 Linux at daemon (ATD)。”

攻擊鏈?zhǔn)褂昧烁鞣N惡意軟件和公開(kāi)可用的實(shí)用程序，包括：

• STEELHOUND – STEELCORGI in-memory dropper 的變體，用于解密嵌入式有效負(fù)載并加密新的二進(jìn)制文件；
• WINGHOOK – 基于 Linux 和 Unix 的操作系統(tǒng)的鍵盤(pán)記錄器，以編碼格式捕獲數(shù)據(jù)；
• WINGCRACK – 用于解析 WINHOOK 生成的編碼內(nèi)容的實(shí)用程序；
• WIPERIGHT – 一個(gè)ELF 實(shí)用程序，用于擦除與基于 Linux 和 Unix 的系統(tǒng)上的特定用戶有關(guān)的日志條目；
• MIGLOGCLEANER – 一種ELF 實(shí)用程序，可在基于 Linux 和 Unix 的系統(tǒng)上擦除日志或從日志中刪除某些字符串。

“UNC2891憑借他們的技能和經(jīng)驗(yàn)，能夠充分利用Unix和Linux系統(tǒng)環(huán)境中安全措施的缺陷，“研究人員說(shuō)。”雖然 UNC2891 和 UNC1945 兩個(gè)組織之間具有相似性，但將入侵歸因于同一組織的證據(jù)還不夠確鑿。”

參考來(lái)源：https://thehackernews.com/2022/03/hackers-target-bank-networks-with-new.html