FortiGuard Labs è a conoscenza di un rapporto secondo cui un attore di minacce noto come UNC2891 ha utilizzato un rootkit precedentemente sconosciuto per acquisire i dati di verifica della carta bancaria e del PIN da server di commutazione ATM compromessi. I dati acquisiti sono stati utilizzati per eseguire transazioni fraudolente. Soprannominato Caketap, il rootkit consente all’attore della minaccia di nascondere connessioni di rete, processi e file e di installare diversi hook nelle funzioni di sistema per ricevere comandi e configurazioni dal server remoto dell’attaccante. Perché è significativo? Ciò è significativo perché Caketap precedentemente sconosciuto il rootkit implementato dall’attore delle minacce per i sistemi Oracle Solaris fornisce stealth per le attività dell’attaccante ei dati che ruba possono essere utilizzati per transazioni finanziarie non autorizzate. Gli attacchi effettuati dall’UNC2891 sono motivati finanziariamente e potrebbero causare gravi danni finanziari alle istituzioni finanziarie prese di mira. Che cos’è Caketap Caketap è un rootkit del modulo del kernel utilizzato da UNC2891 sui sistemi Oracle Solaris. Il rootkit viene utilizzato per nascondere connessioni di rete, processi e file e installare diversi hook nelle funzioni di sistema per ricevere comandi e configurazioni dal server remoto dell’attaccante. Il rootkit è in grado di intercettare determinati messaggi inviati per il Payment Hardware Security Module (HSM) al fine di disabilitare la corretta verifica della carta bancaria e restituire una risposta valida per approvare carte bancarie fraudolente. Esamina anche i messaggi di verifica del PIN. Se i messaggi di verifica del PIN non riguardano una carta bancaria fraudolenta, Caketap non interrompe la verifica valida ma salva i messaggi. Se Caketap rileva messaggi di verifica PIN per carte bancarie fraudolente, riproduce i messaggi validi precedentemente salvati per bypassare la verifica PIN. Thales, un fornitore di HSM, descrive il Payment Hardware Security Module (HSM) come “un dispositivo hardware temprato e resistente alle manomissioni che è utilizzato principalmente dal settore bancario al dettaglio per fornire livelli elevati di protezione per le chiavi crittografiche e i PIN dei clienti utilizzati durante l’emissione di carte a banda magnetica e chip EMV (e le relative applicazioni mobili equivalenti) e la successiva elaborazione delle transazioni di pagamento con carta di credito e di debito”. Che cos’è l’UNC2891? L’UNC2891 è un attore di minacce la cui motivazione principale, secondo quanto riferito, è il guadagno finanziario ed è attivo da diversi anni. È noto che l’attore delle minacce non solo ha una vasta conoscenza dei sistemi Oracle Solaris, ma anche dei sistemi Linux e Unix. Quali altri strumenti utilizza UNC2891? È stato segnalato che i seguenti strumenti sono stati utilizzati dall’attore delle minacce: SLAPSTICK – il modulo di autenticazione pluggable backdoor basato su (PAM)Versione personalizzata di TINYSHELL – backdoorSTEELHOUND – contagocce in-memorySTEELCORGI – contagocce in-memorySUN4ME – toolkit che contiene strumenti per spiare la rete, l’enumerazione degli host, sfruttare vulnerabilità note e cancellare i logWINGHOOK – keylogger per sistemi Linux e UnixWINGCRACK – utility che è utilizzato per decodificare e visualizzare le informazioni raccolte da WINGHOOKBINBASH – Utilità ELF che esegue una shell dopo che l’ID gruppo e l’ID utente sono impostati su “root” o valori specificatiWIPERIGHT – Utilità ELF per sistemi Linux e Unix e viene utilizzata per cancellare registri specificiMIGLOGCLEANER – Utilità ELF per sistemi Linux e Unix utilizzata per cancellare i registri o rimuovere determinate stringhe dai registri Qual è lo stato della copertura ?FotriGuard Labs fornisce la seguente copertura AV:Linux/Agent.T!tr
