Um agente de ameaças com motivação financeira foi observado implantando um rootkit anteriormente desconhecido visando sistemas Oracle Solaris com o objetivo de comprometer as redes de comutação de caixas automáticos (ATM) e realizar saques de dinheiro não autorizados em diferentes bancos usando cartões fraudulentos.
A empresa de inteligência de ameaças e resposta a incidentes Mandiant está rastreando o cluster sob o apelido UNC2891, com algumas das táticas, técnicas e procedimentos do grupo compartilhando sobreposições com o de outro cluster apelidado de UNC1945. As invasões encenadas pelo ator envolvem “um alto grau de OPSEC e alavancam malware, utilitários e scripts públicos e privados para remover evidências e dificultar os esforços de resposta”, disseram pesquisadores da Mandiant em um novo relatório publicado esta semana.
Ainda mais preocupante, os ataques duraram vários anos em alguns casos, durante todo o qual o ator permaneceu indetectado, aproveitando um rootkit chamado CAKETAP, projetado para ocultar conexões de rede, processos e arquivos.
A Mandiant, que conseguiu recuperar dados forenses de memória de um dos servidores de switch ATM vitimados, observou que uma variante do rootkit do kernel vinha com recursos especializados que permitiam interceptar mensagens de verificação de cartão e PIN e usar os dados roubados para realizar dinheiro fraudulento. saques em terminais ATM.
Também são usados dois backdoors conhecidos como SLAPSTICK e TINYSHELL, ambos atribuídos ao UNC1945 e são empregados para obter acesso remoto persistente a sistemas de missão crítica, bem como execução de shell e transferências de arquivos via rlogin, telnet ou SSH.
“De acordo com a familiaridade do grupo com sistemas baseados em Unix e Linux, o UNC2891 frequentemente nomeava e configurava seus backdoors TINYSHELL com valores que se disfarçavam de serviços legítimos que podem ser ignorados pelos investigadores, como systemd (SYSTEMD), name service cache daemon (NCSD) , e o Linux at daemon (ATD)”, apontaram os pesquisadores.
Além disso, as cadeias de ataque foram detectadas utilizando uma variedade de malware e utilitários disponíveis publicamente, incluindo:
STEELHOUND – Uma variante do conta-gotas na memória.
STEELCORGI que é usado para descriptografar uma carga incorporada e criptografar novos binários.
WINGHOOK – Um keylogger para sistemas operacionais baseados em Linux e Unix que captura os dados em um formato codificado
WINGCRACK – Um utilitário que é usado para analisar o conteúdo codificado gerado pelo
WINGHOOK WIPERIGHT – Um utilitário ELF que apaga entradas de log pertencentes a um usuário específico em sistemas baseados em Linux e Unix
MIGLOGCLEANER – Um utilitário ELF que limpa logs ou remove certas strings de logs em sistemas baseados em Linux e Unix
“[UNC2891] usa sua habilidade e experiência para tirar o máximo proveito da diminuição da visibilidade e das medidas de segurança que geralmente estão presentes em ambientes Unix e Linux”, disseram os pesquisadores. “Embora algumas das sobreposições entre UNC2891 e UNC1945 sejam notáveis, não é conclusivo o suficiente para atribuir as invasões a um único grupo de ameaças”.
