研究者は、ATMに対して展開された新しいCAKETAPRookitを観察します

新しいルートキットが野生で検出されました, Oracle Solarisシステムを対象とし、 ATM. マンディアントの調査と分析によると, いわゆるUNC2891脅威アクターは、金銭的な動機があるように見えるルートキットの侵入を開始しました, 場合によっては、俳優がほとんど検出されないままであった数年にわたる場合もあります.

The ルートキット それ自体はCAKETAPとして知られています. ルートキットの亜種の1つが、被害者のATMスイッチングネットワークを通過するメッセージを操作していることが確認されています。.

「CAKETAPの1つのバリエーションは、被害者の現金自動預け払い機を通過するメッセージを操作しました (ATM) スイッチングネットワーク. これは、不正な銀行カードを使用して複数の銀行で不正な現金引き出しを実行するための大規模な操作の一部として活用されたと考えられています,」マンディアントは言った.

CAKETAPルートキットと同時にデプロイされたバックドア

実際には, 研究チームは以前、SLAPSTICKとして知られるPAMベースのバックドアを「広範囲に使用」したUNC2891の侵入を観察していました。. バックドアは、クレデンシャルハーベスティングキャンペーンの実行を支援しました, 影響を受けるネットワーク内の侵害されたマシンにバックドアシステムを提供するだけでなく. 短編小説, SLAPSTICKは、ハードコードされたパスワードを使用して、感染したシステムへの永続的なバックドアアクセスを提供します ("魔法の"), また、認証の試行とパスワードを暗号化されたログファイルに記録します.

注目に値するのは, SLAPSTICKログファイルはしばしばタイムストンプされましたが, マンディアントの研究者はそれらを解読し、バックドアが提供する「魔法の」パスワードを使用して俳優の横方向の動きの活動の一部を追跡しました.

CAKETAPルートキット攻撃で観察されたもう1つのバックドアは、TINYSHELLです。. このバックドアは、外部の暗号化された構成ファイルを適用しました, 追加機能を含むいくつかのバリエーション, 基本認証を使用してHTTPプロキシを介して通信する機能など.

UnixおよびLinuxベースのシステムに関する脅威グループの知識に従う, 彼らはしばしば、セキュリティ研究者が見逃す可能性のある正当なサービスとして隠された値でTINYSHELLバックドアに名前を付けて構成しました, systemdのように, ネームサービスキャッシュデーモン, およびLinuxatデーモン.

CAKETAPルートキットの詳細?

マンディアントの報告によると, CAKETAPは、OracleSolarisを実行している主要なサーバーインフラストラクチャにデプロイされたカーネルモジュールルートキットです。. ルートキットの機能に関して, ネットワーク接続を隠すことができます, プロセス, およびファイル. さらに, 初期化中にロードされたモジュールリストから自分自身を削除できます, また、last_module_idを以前にロードされたモジュールで更新して、その存在を非表示にします.

「フックが関数ipcl_get_next_connにインストールされています, ipmoduleのいくつかの機能と同様に. これにより、CAKETAPは、アクターが構成したIPアドレスまたはポートに一致する接続をフィルターで除外できます。 (ローカルまたはリモート),」レポートが追加されました.

この特定のバリアントは、カードとピンの検証に関連する特定のメッセージを傍受して、偽の銀行カードを使用して不正なトランザクションを実行する可能性のある追加のフック機能も実装しました。. 上記のフック機能は、検証メッセージを操作し、ピン検証メッセージを再生する可能性があります.

「マンディアントの調査結果に基づく, CAKETAPは、不正な銀行カードを使用して複数の銀行のATM端末から不正な現金引き出しを実行するための大規模なオペレーションの一部としてUNC2891によって活用されたと考えています。,」レポートは結論を出しました.