Um novo rootkit foi detectado na natureza, visando sistemas Oracle Solaris e visando Caixas eletrônicos. De acordo com a pesquisa e análise da Mandiant, os chamados agentes de ameaças UNC2891 iniciaram invasões de rootkits que pareciam ser motivadas financeiramente, em alguns casos, abrangendo vários anos durante os quais o ator permaneceu em grande parte não detectado.
o rootkit em si é conhecido como CAKETAP. Uma das variantes do rootkit foi observada manipulando mensagens que transitam pela rede de comutação ATM das vítimas.
“Uma variante de mensagens manipuladas CAKETAP transitando por um caixa automático de vítimas (caixa eletrônico) rede de comutação. Acredita-se que isso foi aproveitado como parte de uma operação maior para realizar saques não autorizados em vários bancos usando cartões bancários fraudulentos,” disse Mandian.
Backdoor implantado simultaneamente com o CAKETAP Rootkit
De fato, a equipe de pesquisa já havia observado intrusões UNC2891 que fizeram “uso extensivo” de um backdoor baseado em PAM conhecido como SLAPSTICK. O backdoor ajudou a realizar campanhas de coleta de credenciais, bem como fornecer sistemas backdoor para máquinas comprometidas em redes afetadas. Longa história curta, SLAPSTICK fornece acesso backdoor persistente a sistemas infectados com uma senha codificada ("mágico"), enquanto também registra tentativas de autenticação e senhas em um arquivo de log criptografado.
Vale ressaltar que, embora os arquivos de log do SLAPSTICK fossem frequentemente marcados, Os pesquisadores da Mandiant os decodificaram e rastrearam algumas das atividades de movimento lateral do ator através do uso da senha “mágica” fornecida pela backdoor.
Outro backdoor observado nos ataques de rootkit CAKETAP é o TINYSHELL. Este backdoor aplicou um arquivo de configuração criptografado externo, com algumas variantes, incluindo funcionalidade adicional, como a capacidade de se comunicar por meio de um proxy HTTP com autenticação básica.
Seguindo o conhecimento do grupo de ameaças de sistemas baseados em Unix e Linux, eles geralmente nomeavam e configuravam os backdoors do TINYSHELL com valores ocultos como serviços legítimos que os pesquisadores de segurança poderiam perder, como systemd, daemon de cache do serviço de nomes, e Linux no daemon.
Mais sobre o Rootkit CAKETAP?
De acordo com o relatório da Mandiant, CAKETAP é um rootkit de módulo de kernel implantado na infraestrutura de servidor chave que executa o Oracle Solaris. Em termos de recursos do rootkit, pode ocultar conexões de rede, processos, e arquivos. além disso, ele pode se remover da lista de módulos carregados durante a inicialização, também atualizando o last_module_id com o módulo carregado anteriormente para ocultar sua presença.
“Um gancho é instalado na função ipcl_get_next_conn, bem como várias funções no ipmodule. Isso permite que o CAKETAP filtre quaisquer conexões que correspondam a um endereço IP ou porta configurado pelo ator (local ou remoto),”O relatório adicionou.
Essa variante específica também implementou uma funcionalidade de gancho adicional que pode interceptar mensagens específicas relacionadas à verificação de cartão e pin para realizar transações não autorizadas usando cartões bancários falsos. A referida funcionalidade de gancho pode manipular mensagens de verificação e reproduzir mensagens de verificação de pinos.
“Com base nas descobertas da investigação da Mandiant, acreditamos que o CAKETAP foi alavancado pelo UNC2891 como parte de uma operação maior para usar com sucesso cartões bancários fraudulentos para realizar saques de dinheiro não autorizados de terminais ATM em vários bancos,”O relatório concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: