新的Unix rootkit用来窃取ATM银行数据

中科天齐软件源代码安全检测中心

共 1343字,需浏览 3分钟

 ·

2022-03-22 11:12

在LightBasin(一个以金钱为动机的黑客组织)的活动之后,威胁分析师报告称,他们发现了一个以前不为人知的Unix rootkit,用于窃取ATM银行数据和进行欺诈交易。

最近观察到特定的攻击群体针对定制植入物的电信公司,早在2020年,他们被发现危害托管服务提供商并使其客户受害。

通过最近的观察,研究人员发现LightBasin活动重点关注银行卡欺诈和关键系统的入侵。

利用您的银行数据

LightBasin的新rootkit是一个名为“Caketap”的Unix内核模块,部署在运行Oracle Solaris操作系统的服务器上。

加载时,Caketap隐藏网络连接、进程和文件,同时将几个钩子安装到系统函数中以接收远程命令和配置。

分析师观察到的命令如下:

将 CAKETAP 模块添加回加载的模块列表

更改 getdents64 挂钩的信号字符串

添加一个网络过滤器(格式 p)

删除网络过滤器

将当前线程 TTY 设置为不被 getdents64 钩子过滤

将所有 TTY 设置为由 getdents64 挂钩过滤

显示当前配置

Caketap的最终目标是拦截被入侵的ATM交换机服务器上的银行卡和PIN验证数据,然后利用被盗的数据为未经授权的交易提供便利。

Caketap 截获的消息发往支付硬件安全模块 (HSM),这是一种防篡改硬件设备,在银行业用于生成、管理和验证pin、磁条和EMV芯片的密钥。

Caketap 操纵卡片验证消息来破坏流程,阻止那些匹配欺诈性银行卡的消息,并生成有效响应。

在第二阶段,它会在内部保存与非欺诈的主要账号(Primary Account Numbers)匹配的有效消息,并将它们发送给HSM,这样常规的客户交易就不会受到影响,植入操作也保持隐秘。

研究人员在报告中解释说:“我们认为,UNC2891 (LightBasin)利用CAKETAP,成功地利用虚假银行卡从多家银行的 ATM 终端进行未经授权的现金提取,这是他们大型活动中的一部分。”

在之前的攻击中与攻击者相关的其他工具包括Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight和Mignogcleaner,所有这些工具都被Mandiant证实仍在LightBasin攻击中使用。

jArWh8uBoB.png

精准定位

LightBasin是一个非常熟练的威胁参与者,它利用了任务关键型Unix和Linux系统中宽松的安全性,这些系统通常被视为本质上是安全的,或者由于它们的隐蔽性而在很大程度上被忽视。

金融领域一直广受网络犯罪分子关注,不断出现新恶意软件不但为查杀系统增加难度,而且也为金融业网络安全和数据安全带来很大威胁。为了降低金融行业网络系统的相关风险,企业除了在做好查杀和安全防御措施之外,更应重视在底层软件在技术方面的安全建设。尤其软件安全是网络安全最基础防线,在软件开发过程中重视代码缺陷等问题,利用静态代码检测等自动化技术,加强代码安全建设及漏洞检测,来提升软件自身安全性,为网络安全筑牢根基,从而降低金融机构遭到网络攻击的风险。

浏览 27
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报