[RU]

[EN]
Alphazine - Only Successful People.
ГАРАНТ ПОПОЛНИТЬ ДЕПОЗИТ

Вернуться   Alphazine - Only Successful People. > Форум > Новости.

Важная информация

[Определение часового пояса]
[ Регистрация ]
Имя:
Отделение людей от роботов


 
Опции темы
Группировка LightBasin использует Unix-руткит для кражи данных банкоматов
Старый   #1
Info
[ Info Bot ]
 
Регистрация: 21.05.2020
Сообщений: 1,466
Спасибо: 2 раз(а)
Репутация:   0  
Депозит: 0 ?
Business Level: 26 ?
Отправить личное сообщение для Info Telegram Jabber Tox PGP GPG Key
Группировка LightBasin использует Unix-руткит для кражи данных банкоматов

Руткит под названием Caketap устанавливается на серверах под управлением операционной системы Oracle Solaris.

ИБ-специалисты, отслеживающие деятельность финансово мотивированной группировки хакеров LightBasin, обнаружили новый Unix-руткит, который используется для кражи данных банкоматов и проведения мошеннических транзакций.

Как сообщили исследователи из компании Mandiant, новый руткит LightBasin представляет собой модуль ядра Unix под названием Caketap, который устанавливается на серверах под управлением операционной системы Oracle Solaris. Caketap скрывает сетевые подключения, процессы и файлы, а также устанавливает несколько хуков в системные функции для получения удаленных команд и конфигураций.

Специалисты обнаружили следующие команды:

Добавить модуль CAKETAP обратно в список загруженных модулей.

Изменить сигнальную строку для хука getdents64.

Добавить сетевой фильтр (формат p).

Удалить сетевой фильтр

Установить TTY текущего потока так, чтобы он не фильтровался хуком getdents64.

Настроить фильтрацию всех TTY с помощью хука getdents64.

Отображать текущую конфигурацию.

Главная задача Caketap — перехватить данные проверки банковской карты и PIN-кода со взломанных серверов коммутации банкоматов, а затем использовать украденные данные для облегчения проведения несанкционированных транзакций.

Сообщения, перехваченные Caketap, предназначены для защищенного от несанкционированного доступа аппаратного устройства Payment Hardware Security Module (HSM), используемого в банковской сфере для создания, управления и проверки криптографических ключей для PIN-кодов, магнитных полос и чипов EMV.

«Мы считаем, что CAKETAP был использован UNC2891 (LightBasin) в рамках более крупной операции по успешному использованию мошеннических банковских карт для несанкционированного снятия наличных в банкоматах в нескольких банках», — отметили в Mandiant.

Помимо Caketap группировка также использует в своих атаках такие инструменты, как Slapstick, Tinyshell, Steelhound, Steelcorgi, Wingjook, Wingcrack, Binbash, Wiperight и Mignogcleaner.


source: mandiant.com/resources/unc2891-overview
  Ответить с цитированием
Опции темы
Опции просмотра