Ein neues Rootkit wurde in freier Wildbahn entdeckt, auf Oracle Solaris-Systeme abzielen und darauf abzielen Geldautomaten. Laut Forschung und Analyse von Mandiant, Die sogenannten UNC2891-Bedrohungsakteure initiierten scheinbar finanziell motivierte Rootkit-Intrusionen, in einigen Fällen über mehrere Jahre, in denen der Schauspieler weitgehend unentdeckt geblieben war.
Die Rootkit selbst ist als CAKETAP bekannt. Eine der Rootkit-Varianten wurde dabei beobachtet, wie sie Nachrichten manipulierte, die ein ATM-Switching-Netzwerk des Opfers durchliefen.
„Eine Variante von CAKETAP manipulierte Nachrichten, die einen Geldautomaten des Opfers übermittelten (Geldautomat) Schaltnetz. Es wird angenommen, dass dies im Rahmen einer größeren Operation genutzt wurde, um mit betrügerischen Bankkarten nicht autorisierte Bargeldabhebungen bei mehreren Banken durchzuführen,“, sagte Mandiant.
Gleichzeitig mit CAKETAP Rootkit bereitgestellte Backdoor
Tatsächlich, Das Forschungsteam hatte zuvor UNC2891-Intrusionen beobachtet, die „ausgiebigen Gebrauch“ von einer PAM-basierten Hintertür gemacht haben, die als SLAPSTICK bekannt ist. Die Hintertür half bei der Durchführung von Kampagnen zum Sammeln von Anmeldeinformationen, sowie die Bereitstellung von Backdoor-Systemen für kompromittierte Maschinen in betroffenen Netzwerken. Um es kurz zu machen, SLAPSTICK bietet dauerhaften Backdoor-Zugriff auf infizierte Systeme mit einem hartcodierten Passwort („magisch“), Gleichzeitig werden Authentifizierungsversuche und Kennwörter in einer verschlüsselten Protokolldatei protokolliert.
Es ist bemerkenswert, dass, obwohl SLAPSTICK-Protokolldateien oft mit einem Zeitstempel versehen waren, Mandiant-Forscher entschlüsselten sie und verfolgten einige der seitlichen Bewegungsaktivitäten des Schauspielers durch die Verwendung des von der Hintertür bereitgestellten „magischen“ Passworts.
Eine weitere Hintertür, die bei den CAKETAP-Rootkit-Angriffen beobachtet wurde, ist TINYSHELL. Diese Hintertür hat eine externe verschlüsselte Konfigurationsdatei angewendet, bei einigen Varianten mit zusätzlicher Funktionalität, B. die Möglichkeit, über einen HTTP-Proxy mit Basisauthentifizierung zu kommunizieren.
Nach den Kenntnissen der Bedrohungsgruppe über Unix- und Linux-basierte Systeme, Sie benannten und konfigurierten die TINYSHELL-Hintertüren oft mit versteckten Werten als legitime Dienste, die Sicherheitsforscher übersehen könnten, wie systemd, Name-Service-Cache-Daemon, und Linux beim Daemon.
Mehr über das CAKETAP-Rootkit?
Laut Mandiants Bericht, CAKETAP ist ein Kernelmodul-Rootkit, das auf einer Schlüsselserverinfrastruktur bereitgestellt wird, auf der Oracle Solaris ausgeführt wird. In Bezug auf die Fähigkeiten des Rootkits, es kann Netzwerkverbindungen verbergen, Prozesse, und Dateien,. Weiter, es kann sich während der Initialisierung aus der Liste der geladenen Module entfernen, Außerdem wird die last_module_id mit dem zuvor geladenen Modul aktualisiert, um dessen Vorhandensein zu verbergen.
„In die Funktion ipcl_get_next_conn ist ein Hook eingebaut, sowie mehrere Funktionen im ipmodule. Dadurch kann CAKETAP alle Verbindungen herausfiltern, die mit einer vom Akteur konfigurierten IP-Adresse oder einem Port übereinstimmen (lokal oder entfernt),“ fügte der Bericht hinzu.
Diese spezielle Variante implementierte auch eine zusätzliche Hooking-Funktion, die bestimmte Nachrichten im Zusammenhang mit der Karten- und PIN-Verifizierung abfangen konnte, um nicht autorisierte Transaktionen mit gefälschten Bankkarten durchzuführen. Die Hooking-Funktionalität könnte Verifizierungsnachrichten manipulieren und Pin-Verifizierungsnachrichten wiedergeben.
„Basierend auf den Untersuchungsergebnissen von Mandiant, Wir glauben, dass CAKETAP von UNC2891 als Teil einer größeren Operation genutzt wurde, um erfolgreich betrügerische Bankkarten zu verwenden, um nicht autorisierte Bargeldabhebungen von Geldautomaten bei mehreren Banken durchzuführen,Der Bericht schloss.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: