Er is een nieuwe rootkit in het wild gedetecteerd, gericht op Oracle Solaris-systemen en gericht op: geldautomaten. Volgens onderzoek en analyse van Mandiant, de zogenaamde UNC2891-bedreigingsactoren begonnen rootkit-intrusies die financieel gemotiveerd leken te zijn, in sommige gevallen verspreid over meerdere jaren waarin de acteur grotendeels onopgemerkt was gebleven.
Het rootkit zelf staat bekend als CAKETAP. Een van de varianten van de rootkit is waargenomen bij het manipuleren van berichten die via een ATM-schakelnetwerk van het slachtoffer worden verzonden.
"Een variant van door CAKETAP gemanipuleerde berichten die door een automatische teller van het slachtoffer worden verzonden" (Geldautomaat) schakelend netwerk. Er wordt aangenomen dat dit werd gebruikt als onderdeel van een grotere operatie om ongeautoriseerde geldopnames uit te voeren bij verschillende banken met behulp van frauduleuze bankkaarten," zei Mandiant.
Backdoor gelijktijdig geïmplementeerd met CAKETAP Rootkit
In feite, het onderzoeksteam had eerder UNC2891-inbraken waargenomen die "uitgebreid gebruik" maakten van een op PAM gebaseerde achterdeur die bekend staat als SLAPSTICK. De achterdeur hielp bij het uitvoeren van campagnes voor het verzamelen van referenties, evenals het leveren van achterdeursystemen aan gecompromitteerde machines in getroffen netwerken. Om een lang verhaal kort te maken, SLAPSTICK biedt permanente achterdeurtoegang tot geïnfecteerde systemen met een hardgecodeerd wachtwoord ("magisch"), terwijl ook authenticatiepogingen en wachtwoorden worden vastgelegd in een versleuteld logbestand.
het is opmerkelijk dat, hoewel SLAPSTICK-logbestanden vaak een tijdstempel hadden, Mandiant-onderzoekers hebben ze gedecodeerd en enkele van de laterale bewegingsactiviteiten van de acteur getraceerd door het gebruik van het door de achterdeur geleverde "magische" wachtwoord.
Een andere achterdeur die is waargenomen bij de CAKETAP-rootkit-aanvallen is TINYSHELL. Deze achterdeur heeft een extern versleuteld configuratiebestand toegepast, met sommige varianten inclusief extra functionaliteit, zoals de mogelijkheid om te communiceren via een HTTP-proxy met basisverificatie.
In navolging van de kennis van de dreigingsgroep van op Unix en Linux gebaseerde systemen, ze noemden en configureerden de TINYSHELL-achterdeuren vaak met verborgen waarden als legitieme services die beveiligingsonderzoekers zouden kunnen missen, zoals systemd, naamservice cache-daemon, en Linux bij daemon.
Meer over de CAKETAP Rootkit?
Volgens het rapport van Mandiant, CAKETAP is een rootkit van een kernelmodule die wordt geïmplementeerd op een belangrijke serverinfrastructuur met Oracle Solaris. In termen van de mogelijkheden van de rootkit, het kan netwerkverbindingen verbergen, processen, en bestanden. Bovendien, het kan zichzelf verwijderen uit de lijst met geladen modules tijdens initialisatie, ook de last_module_id bijwerken met de eerder geladen module om zijn aanwezigheid te verbergen.
“Er is een hook geïnstalleerd in de functie ipcl_get_next_conn, evenals verschillende functies in de ipmodule. Hierdoor kan CAKETAP alle verbindingen uitfilteren die overeenkomen met een door een acteur geconfigureerd IP-adres of poort (lokaal of op afstand),” het rapport toegevoegd.
Deze specifieke variant implementeerde ook een extra hooking-functionaliteit die specifieke berichten met betrekking tot kaart- en pinverificatie kon onderscheppen om ongeautoriseerde transacties uit te voeren met behulp van valse bankkaarten. De genoemde hooking-functionaliteit kan verificatieberichten manipuleren en pinverificatieberichten opnieuw afspelen.
“Gebaseerd op de onderzoeksresultaten van Mandiant, wij zijn van mening dat CAKETAP door UNC2891 is gebruikt als onderdeel van een grotere operatie om met succes frauduleuze bankkaarten te gebruiken om ongeautoriseerde geldopnames uit geldautomaten bij verschillende banken uit te voeren," het verslag gesloten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: