Hackernews 编译,转载请注明出处:
据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。
威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,该组织的一些战术、技术和程序共享与另一个名为UNC1945的组织有相似之处。
Mandiant 公司的研究人员在本周发布的一份新报告中称,这名演员进行的入侵涉及“高度的 OPSEC,利用公共和私人恶意软件、公用程序和脚本来移除证据,阻碍应急行动。”
更令人担忧的是,在某些案例中,这些攻击持续了几年,在整个过程中,黑客利用一个名为 CAKETAP 的 rootkit ,且仍未被发现,这个 rootkit 被设计用来隐藏网络连接、进程和文件。
Mandiant 公司能够从受害的 ATM 交换服务器中恢复内存检测数据,该公司指出,内核 rootkit 的一种变体具有专门功能,使其能够拦截卡和 PIN 验证信息,并使用被盗数据从 ATM 终端进行欺诈性的现金提款。
同时使用的还有两个后门,即 SLAPSTICK 和 TINYSHELL,它们都属于 UNC1945,用于获得对任务关键系统的持久远程访问,以及通过 rlogin、 telnet 或 SSH 进行 shell 执行和文件传输。
研究人员指出: “由于该组织熟悉基于 Unix 和 Linux 的系统,unc2891经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被检测人员忽略,比如 systemd (SYSTEMD)、名称服务缓存守护进程(NCSD)和 Linux at 守护进程(ATD)。”
此外,攻击链使用了各种恶意软件和公开可用的实用程序,包括-
- STEELHOUND —— STEELCORGI 内存植入的变体,用于解密嵌入式有效载荷和加密新的二进制文件
- WINGHOOK-一个基于 Linux 和 Unix 操作系统的键盘记录程序,以编码格式捕获数据
- WINGCRACK-一个实用程序,用于解析由 WINGHOOK 生成的编码内容
- Wiperiight ——一个 ELF 实用程序,用于删除基于 Linux 和 Unix 系统上属于特定用户的日志条目
- MIGLOGCLEANER ——一个在基于 Linux 和 Unix 的系统上清除日志或删除某些字符串的 ELF 实用程序
研究人员说: “ UNC2891使用他们的技术和经验来充分利用 Unix 和 Linux 环境中经常出现的不明显的安全措施。”“虽然 UNC2891和 UNC1945之间的一些相似度是显而易见的,但不足以确定入侵是同一个威胁组织所为。”
消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文