Casa > Cyber ​​Notizie > I ricercatori osservano il nuovo CAKETAP Rookit distribuito contro gli sportelli automatici
CYBER NEWS

I ricercatori osservano il nuovo CAKETAP Rookit distribuito contro gli sportelli automatici

Un nuovo rootkit è stato rilevato in natura, mirando ai sistemi Oracle Solaris e agli sportelli automatici.

Un nuovo rootkit è stato rilevato in natura, mirare ai sistemi Oracle Solaris e mirare a ATM. Secondo la ricerca e l'analisi di Mandiant, i cosiddetti attori della minaccia UNC2891 hanno avviato intrusioni di rootkit che sembravano essere motivate finanziariamente, in alcuni casi nell'arco di diversi anni durante i quali l'attore era rimasto in gran parte inosservato.

Il rootkit esso stesso è noto come CAKETAP. Una delle varianti del rootkit è stata osservata manipolare i messaggi che transitano su una rete di commutazione ATM delle vittime.

“Una variante di CAKETAP ha manipolato i messaggi che transitavano su uno sportello automatico delle vittime (ATM) rete di commutazione. Si ritiene che ciò sia stato sfruttato come parte di un'operazione più ampia per eseguire prelievi di contanti non autorizzati presso diverse banche utilizzando carte bancarie fraudolente,” disse Mandiant.




Backdoor distribuito contemporaneamente al rootkit CAKETAP

Infatti, il team di ricerca aveva precedentemente osservato intrusioni dell'UNC2891 che facevano un "uso estensivo" di una backdoor basata su PAM nota come SLAPSTICK. La backdoor ha aiutato a realizzare campagne di raccolta delle credenziali, oltre a fornire sistemi backdoor alle macchine compromesse nelle reti interessate. Per farla breve, SLAPSTICK fornisce un accesso backdoor persistente ai sistemi infetti con una password hardcoded ("magico"), mentre registra anche i tentativi di autenticazione e le password in un file di registro crittografato.

E 'degno di nota, sebbene i file di registro SLAPSTICK fossero spesso cronometrati, I ricercatori Mandiant li hanno decodificati e tracciato alcune delle attività di movimento laterale dell'attore attraverso l'uso della password "magica" fornita dalla backdoor.

Un'altra backdoor osservata negli attacchi del rootkit CAKETAP è TINYSHELL. Questa backdoor ha applicato un file di configurazione crittografato esterno, con alcune varianti che includono funzionalità aggiuntive, come la capacità di comunicare tramite un proxy HTTP con autenticazione di base.

A seguito della conoscenza da parte del gruppo delle minacce di sistemi basati su Unix e Linux, spesso nominavano e configuravano le backdoor TINYSHELL con valori nascosti come servizi legittimi che i ricercatori della sicurezza potrebbero non rilevare, come systemd, demone della cache del servizio dei nomi, e Linux su demone.

Maggiori informazioni sul Rootkit CAKETAP?

Secondo il rapporto di Mandiant, CAKETAP è un rootkit del modulo del kernel distribuito sull'infrastruttura del server chiave che esegue Oracle Solaris. In termini di capacità del rootkit, può nascondere le connessioni di rete, processi, e file. Inoltre, può rimuoversi dall'elenco dei moduli caricati durante l'inizializzazione, aggiornando anche last_module_id con il modulo precedentemente caricato per nasconderne la presenza.

“Un hook è installato nella funzione ipcl_get_next_conn, così come diverse funzioni in ipmodule. Ciò consente a CAKETAP di filtrare tutte le connessioni che corrispondono a un indirizzo IP o una porta configurati dall'attore (locale o remoto),"aggiunse il rapporto.




Questa specifica variante ha anche implementato un'ulteriore funzionalità di hooking che potrebbe intercettare messaggi specifici relativi alla verifica della carta e del pin per eseguire transazioni non autorizzate utilizzando carte bancarie false. La suddetta funzionalità di aggancio potrebbe manipolare i messaggi di verifica e riprodurre i messaggi di verifica del pin.

«Sulla base dei risultati dell'indagine di Mandiant, riteniamo che CAKETAP sia stato sfruttato dall'UNC2891 come parte di un'operazione più ampia per utilizzare con successo carte bancarie fraudolente per eseguire prelievi di contanti non autorizzati dai terminali ATM di diverse banche," il rapporto concluso.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo