Tin tặc nhắm mục tiêu mạng ngân hàng với Rootkit mới để ăn cắp tiền từ máy ATM

www.tuoitre.vn -   18/03/2022 08:00:00 403

Một tin tặc có động cơ tấn công tài chính đã được phát hiện trong quá trình triển khai một rookie chưa được biết đến trước đây nhằm tấn công vào các hệ thống Oracle Solaris với mục tiêu xâm phạm mạng chuyển đổi Automatic Teller Machine (ATM) và thực hiện rút tiền trái phép tại các ngân hàng khác nhau bằng thẻ giả mạo.

Tin tặc nhắm mục tiêu mạng ngân hàng với Rootkit mới để ăn cắp tiền từ máy ATM

Công ty ứng phó sự cố và tình báo mối đe dọa Mandiant đang theo dõi cụm này với biệt danh UNC2891, với một số chiến thuật, kỹ thuật và thủ tục của nhóm này trùng lặp với cụm khác có tên UNC1945.

Các nhà nghiên cứu Mandiant cho biết trong một báo cáo mới được công bố trong tuần này, các cuộc xâm nhập do kẻ này dàn dựng liên quan đến "mức độ cao của OPSEC và tận dụng cả phần mềm độc hại, tiện ích và tập lệnh công khai và riêng tư để xóa bằng chứng và cản trở nỗ lực phản ứng".

Đáng quan tâm hơn, các cuộc tấn công kéo dài vài năm trong một số trường hợp, trong suốt thời gian mà tác nhân vẫn không bị phát hiện bằng cách lợi dụng bộ rootkit có tên là CAKETAP, được thiết kế để che giấu các kết nối mạng, quy trình và tệp.

Mandiant, công ty có khả năng khôi phục dữ liệu pháp y trong bộ nhớ từ một trong những máy chủ chuyển mạch ATM bị nạn, lưu ý rằng một biến thể của bộ rootkit nhân đi kèm với các tính năng chuyên biệt cho phép nó đánh chặn thông báo xác minh thẻ và mã PIN và sử dụng dữ liệu bị đánh cắp để thực hiện hành vi gian lận tiền mặt. rút tiền từ các thiết bị đầu cuối ATM.

Cũng được đưa vào sử dụng là hai backdoor được gọi là SLAPSTICK và TINYSHELL, cả hai đều được gán cho UNC1945 và được sử dụng để có được quyền truy cập từ xa liên tục vào các hệ thống quan trọng cũng như thực thi shell và truyền tệp qua rlogin, telnet hoặc SSH.

Tin tặc nhắm mục tiêu mạng ngân hàng với Rootkit mới để ăn cắp tiền từ máy ATM

"Do sự quen thuộc của nhóm với các hệ thống dựa trên Unix và Linux, UNC2891 thường đặt tên và định cấu hình các cửa hậu TINYSHELL của họ bằng các giá trị giả mạo là các dịch vụ hợp pháp mà các nhà điều tra có thể bỏ qua, chẳng hạn như systemd (SYSTEMD), daemon bộ đệm tên dịch vụ (NCSD) và Linux tại daemon (ATD), "các nhà nghiên cứu chỉ ra.

Ngoài ra, các chuỗi tấn công được phát hiện sử dụng nhiều phần mềm độc hại và các tiện ích công khai, bao gồm – STEELHOUND, WINGHOOK, WINGCRACK, WIPERIGHT, MIGLOGCLEANER.

STEELHOUND - Một biến thể của ống nhỏ giọt trong bộ nhớ STEELCORGI được sử dụng để giải mã tải trọng được nhúng và mã hóa các tệp nhị phân mới

WINGHOOK - Một keylogger cho các hệ điều hành dựa trên Linux và Unix để ghi lại dữ liệu ở định dạng được mã hóa

WINGCRACK - Một tiện ích được sử dụng để phân tích cú pháp nội dung được mã hóa được tạo bởi WINGHOOK

WIPERIGHT - Một tiện ích ELF xóa các mục nhật ký liên quan đến một người dùng cụ thể trên các hệ thống dựa trên Linux và Unix

MIGLOGCLEANER - Một tiện ích ELF xóa sạch nhật ký hoặc xóa một số chuỗi nhất định khỏi nhật ký trên các hệ thống dựa trên Linux và Unix

Các nhà nghiên cứu cho biết: "[UNC2891] sử dụng kỹ năng và kinh nghiệm của họ để tận dụng tối đa khả năng hiển thị và các biện pháp bảo mật giảm thường có trong môi trường Unix và Linux". "Mặc dù một số điểm trùng lặp giữa UNC2891 và UNC1945 là đáng chú ý, nhưng vẫn chưa đủ kết luận để quy các vụ xâm nhập vào một nhóm mối đe dọa duy nhất."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

5.4 triệu tài khoản Twitter bị tấn công ...

08/08/2022 08:00:00 35
Twitter hôm thứ Sáu đã tiết lộ rằng một lỗi zero-day hiện đã được vá đã được sử dụng để liên kết số ...

Đánh cắp dữ liệu, APT và ransomware: Mối...

05/08/2022 10:00:00 66
Khi thiệt hại do tấn công mạng gây ra cho các doanh nghiệp và quốc gia đã được phổ biến rộng rãi trê...

Hơn 3.200 ứng dụng điện thoại di động bị...

01/08/2022 08:00:00 44
Các nhà nghiên cứu bảo mật đã phát hiện ra danh sách 3.207 ứng dụng dành cho thiết bị di động đang đ...

Các giải pháp bảo mật dành cho doanh ngh...

29/07/2022 04:00:00 163
AV-TEST, tổ chức độc lập trong lĩnh vực bảo mật công nghệ thông tin, đã công nhận Kaspersky Endpoint...

Hàng tá ứng dụng Android trên cửa hàng G...

29/07/2022 08:00:00 169
Một chiến dịch độc hại đã tận dụng các ứng dụng nhỏ giọt của Android có vẻ vô hại trên Cửa hàng Goog...

Có hay không khả năng bị hack thông tin ...

29/07/2022 12:00:00 75
Cách duy nhất để bạn có thể thực sự an toàn là sử dụng tính năng bảo vệ chống virus zero-day cùng vớ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ