Finansal olarak motive olmuş bir hacker grubu Lightbasin'in etkinliğini takiben tehdit analistleri, ATM bankacılık verilerini çalmak ve hileli işlemler yapmak için kullanılan daha önce bilinmeyen bir UNIX Rootkit'in keşfedilmesini bildirir.
Belirli bir rakip grup, özellikle özel implantlarla olan telekom şirketlerini hedef alan, 2020'de geriye dönük olarak, yönetilen servis sağlayıcılarından ödün vermeleri ve müşterilerinin mağdur edilmesini görmüştür.
Mandiant tarafından yeni bir raporda, araştırmacılar, banka kartı dolandırıcılığına ve çok önemli sistemlerin uzlaşmasına odaklanan lightbasin aktivitesinin kanıtı sunmaktadır.
Lightbasin'in yeni Rootkit, Oracle Solaris işletim sistemini çalıştıran sunucularda konuşlandırılan "Caketap" adlı bir UNIX çekirdek modülüdür.
Yüklendiğinde, Caketap, uzak komutları ve konfigürasyonları almak için birkaç kancayı sistem fonksiyonlarına yerleştirirken ağ bağlantılarını, işlemleri ve dosyaları gizler.
Analistler tarafından gözlenen komutlar aşağıdakilerdir:
Caketap'in nihai amacı, bankacılık kartını ve PIN doğrulama verilerini ihlal edilen ATM anahtar sunucularından engellemek ve daha sonra yetkisiz işlemleri kolaylaştırmak için çalınan verileri kullanın.
Caketap tarafından yakalanan mesajlar, bankacılık endüstrisinde pimler, manyetik çizgiler ve EMV cipsleri için kriptografik anahtarları oluşturmak, yönetmek ve doğrulamak için kullanılan kurcalayan dirençli bir donanım aygıtı olan Ödeme Donanım Güvenlik Modülü (HSM) için yöneliktir.
Caketap, işlemi bozmak için kart doğrulama mesajlarını değiştirir, hileli banka kartlarına eşleşenleri durdurur ve bunun yerine geçerli bir cevap oluşturur.
İkinci bir aşamada, sahte olmayan tavalara (birincil hesap numaralarını) dahili olarak eşleştiren geçerli mesajları tasarruf sağlar ve bunları HSM'ye gönderir, böylece rutin müşteri işlemlerinin etkilenmediği ve implant işlemlerinin gizli kalmasıdır.
Mandiant's Raporu, "Caketap'in UNC2891 (LightBasin) tarafından UNC2891 (LightBasin) tarafından daha büyük bir operasyonun bir parçası olarak, birkaç bankadaki ATM terminallerinden yetkisiz nakit para çekme işlemlerini başarıyla kullanmak için daha büyük bir operasyonun bir parçası olarak" dedi.
Önceki saldırılarda aktörle yapılan diğer araçlar arasında tokat, Tinyshell, Steelhound, SteelCorgi, Wingjook, WingCrack, Binbash, Wiperigh, Wingjook, WingCrack, Binbash, Wiperight ve Mandittiant'ın LightBasin saldırılarında hala konuşlandırıldığı şekilde onaylandı.
Lightbasin, sıklıkla kendilerinin kendileri nedeniyle sıklıkla güvenli veya büyük ölçüde göz ardı edilen misyon kritik Unix ve Linux sistemlerinde rahat güvenliğin faydalanan oldukça yetenekli bir tehdit aktördür.
Bu, tam olarak LightBasic gelişmek gibi rakiplerin olduğu ve mandiantların aynı operasyonel strateji üzerinde büyük harf yapmalarını beklemelerini bekler.
Atıfla, analistler, UNC1945 tehdit kümesiyle bazı örtüşmeler gördü, ancak henüz o cepheye güvenli sonuçlar çıkarmak için somut bağlantılar yok.
Mor Tilki Kötü Amaçlı Yazılım, Windows Sistemlerine Maruz Kalacak Yolu Solunması
Darkhotel Hack Campaign Lüks Macao Resorts Hedefler
Ukrayna, yerel Govt sitelerinin sahte yakalamayı zorlamayı hack ettiğini söyledi
Eksen iletişim, yıkıcı cyberattack hakkında ayrıntılı bilgi paylaşıyor
2022 yıl siber suçu odaklanmalarını tüketicilere geri döndürür
Kaynak: Bleeping Computer