🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie o projeto e divulgue suas redes! Clique aqui
O ator de ameaças motivadas financeiramente conhecido como UNC2891 foi observado visando a infraestrutura automática de máquina (ATM) usando um Raspberry Pi equipado com 4G como parte de um ataque secreto.
O ataque ciber-físico envolveu o adversário alavancando seu acesso físico para instalar o dispositivo Raspberry Pi e conectá-lo diretamente ao mesmo comutador de rede que o ATM, colocando-o efetivamente na rede do Banco de Targetes, disse o grupo-IB. Atualmente, não se sabe como esse acesso foi obtido.
"O Raspberry Pi foi equipado com um modem 4G, permitindo acesso remoto sobre dados móveis", disse o pesquisador de segurança Nam Le Phuong em um relatório de quarta -feira.
"Usando o backdoor Tinyshell, o invasor estabeleceu um canal de comando e controle de saída (C2) por meio de um domínio DNS dinâmico. Essa configuração permitiu o acesso externo contínuo à rede ATM, ignorando completamente os firewalls do perímetro e as defesas tradicionais da rede".
A UNC2891 foi documentada pela Mandiant de propriedade do Google em março de 2022, ligando o grupo a ataques direcionados a redes de troca de caixas eletrônicos para realizar saques em dinheiro não autorizados em diferentes bancos usando cartões fraudulentos.
O ponto central da operação estava um módulo de kernel Rootkit chamado Caketap, projetado para ocultar conexões, processos e arquivos de rede, além de interceptar e interceptar mensagens de verificação de cartões e pinos dos módulos de segurança de hardware (HSMS) para permitir a fraude financeira.
A equipe de hackers é avaliada para compartilhar sobreposições táticas com outro ator de ameaças UNC1945 (também conhecido como Lightbasin), que foi anteriormente identificado comprometendo provedores de serviços gerenciados e metas impressionantes nas indústrias de consultoria financeira e profissional.
Descrevendo o ator de ameaças como possuindo um amplo conhecimento de sistemas baseados em Linux e Unix, o Group-IB disse que sua análise descobriu backdoors denominados "LightDM" no servidor de monitoramento de rede da vítima, projetado para estabelecer conexões ativas com o Raspberry Pi e o servidor de correio interno.
O ataque é significativo para o abuso de montagens de ligação para ocultar a presença do backdoor das listagens de processos e a detecção de fuga.
O objetivo final da infecção, como visto no passado, é implantar o Caketap Rootkit no servidor de comutação em caixa eletrônico e facilitar as retiradas fraudulentas de caixa dos caixas eletrônicos. No entanto, a empresa de Cingapura disse que a campanha foi interrompida antes que o ator de ameaças pudesse causar danos graves.
"Mesmo depois que o Raspberry Pi foi descoberto e removido, o invasor manteve o acesso interno através de um backdoor no servidor de correio", disse o grupo-IB. "O ator de ameaças alavancou um domínio DNS dinâmico para comando e controle".
O ataque ciber-físico envolveu o adversário alavancando seu acesso físico para instalar o dispositivo Raspberry Pi e conectá-lo diretamente ao mesmo comutador de rede que o ATM, colocando-o efetivamente na rede do Banco de Targetes, disse o grupo-IB. Atualmente, não se sabe como esse acesso foi obtido.
"O Raspberry Pi foi equipado com um modem 4G, permitindo acesso remoto sobre dados móveis", disse o pesquisador de segurança Nam Le Phuong em um relatório de quarta -feira.
"Usando o backdoor Tinyshell, o invasor estabeleceu um canal de comando e controle de saída (C2) por meio de um domínio DNS dinâmico. Essa configuração permitiu o acesso externo contínuo à rede ATM, ignorando completamente os firewalls do perímetro e as defesas tradicionais da rede".
A UNC2891 foi documentada pela Mandiant de propriedade do Google em março de 2022, ligando o grupo a ataques direcionados a redes de troca de caixas eletrônicos para realizar saques em dinheiro não autorizados em diferentes bancos usando cartões fraudulentos.
O ponto central da operação estava um módulo de kernel Rootkit chamado Caketap, projetado para ocultar conexões, processos e arquivos de rede, além de interceptar e interceptar mensagens de verificação de cartões e pinos dos módulos de segurança de hardware (HSMS) para permitir a fraude financeira.
A equipe de hackers é avaliada para compartilhar sobreposições táticas com outro ator de ameaças UNC1945 (também conhecido como Lightbasin), que foi anteriormente identificado comprometendo provedores de serviços gerenciados e metas impressionantes nas indústrias de consultoria financeira e profissional.
Descrevendo o ator de ameaças como possuindo um amplo conhecimento de sistemas baseados em Linux e Unix, o Group-IB disse que sua análise descobriu backdoors denominados "LightDM" no servidor de monitoramento de rede da vítima, projetado para estabelecer conexões ativas com o Raspberry Pi e o servidor de correio interno.
O ataque é significativo para o abuso de montagens de ligação para ocultar a presença do backdoor das listagens de processos e a detecção de fuga.
O objetivo final da infecção, como visto no passado, é implantar o Caketap Rootkit no servidor de comutação em caixa eletrônico e facilitar as retiradas fraudulentas de caixa dos caixas eletrônicos. No entanto, a empresa de Cingapura disse que a campanha foi interrompida antes que o ator de ameaças pudesse causar danos graves.
"Mesmo depois que o Raspberry Pi foi descoberto e removido, o invasor manteve o acesso interno através de um backdoor no servidor de correio", disse o grupo-IB. "O ator de ameaças alavancou um domínio DNS dinâmico para comando e controle".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #unc2891 #viola #a #rede #atm #via #4g #raspberry #pi, #tenta #caketap #rootkit #para #fraude
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário