малуеър

Колеги анализирали дейността на LightBasin, съобщават за финансово мотивирана група хакери и неизвестен досега руткит за Unix, който се използва за кражба на банкови данни от банкомати и извършване на измамни транзакции.

Конкретната група наскоро беше наблюдавана да се насочва към телекомуникационни компании, докато през 2020 г. те бяха забелязани да компрометират доставчици на услуги и да преследват клиентите им.

В нов доклад на Mandiant, изследователите представят допълнителни доказателства за дейността на LightBasin, като се фокусират върху измамите с банкови карти и компрометирането на ключови системи.

Новият руткит на LightBasin е модул за Unix ядро, наречен „Caketap“, който инсталират на сървъри, работещи с операционната система Solaris на Oracle.

Когато се зареди, Caketap скрива мрежови връзки, процеси и файлове, инсталира няколко куки в системните функции, за да получава отдалечени команди и конфигурации.

Командите, наблюдавани от анализаторите, са следните:

• Добавя модула CAKETAP обратно към списъка със автоматично зареждащи се модули
• Подменя getdents64
• Добавя мрежов филтър (формат p)
• Изтрива мрежов филтър (формат p)
• Задава текущата нишка TTY да не се филтрира от куката getdent64
• Задава всички TTY да бъдат филтрирани от куката getdent64
• Показва текущата конфигурация

Крайната цел на Caketap е да прихване данни за банкови карти и ПИН кодове от хакнати сървъри на банкомати, а след това използва откраднатите данни за улесняване на неоторизирани транзакции

Съобщенията, прихванати от Caketap, са предназначени за Payment Hardware Security Module (HSM), хардуерно устройство, което се използва в банковата индустрия за генериране, управление и валидиране на криптографски ключове за ПИН, магнитни ленти и EMV чипове.

Caketap манипулира съобщенията за проверка на картата, за да наруши процеса, спира тези, които съвпадат с измамни банкови карти и вместо тях генерира валиден отговор.

Във втора фаза записва вътрешно валидни съобщения, които съответстват на реални PAN (основни номера на акаунти) и ги изпраща до HSM, така че рутинните клиентски транзакции да не бъдат засегнати и операциите по имплантиране да останат скрити.

„Вярваме, че CAKETAP е бил използван от UNC2891 (LightBasin) като част от по-голяма операция за успешно използване на измамни банкови карти за извършване на неразрешени тегления на пари от терминали на банкомати в няколко банки“, обяснява докладът на Mandiant.

Други инструменти, свързани с престъпната хакерска група в предишни атаки - Slapstick, Tinyshell, Steelhound, Steelcorgi, Wingjook, Wingcrack, Binbash, Wiperight и Mignogcleaner според Mandiant все още се използват в атаки на LightBasin.

LightBasin умело се възползва от прехвалената сигурност в критичните Unix и Linux системи, които често се третират като вътрешно защитени или до голяма степен се игнорират поради тяхната неизвестност.

Точно това е мястото, където престъпни групировки като LightBasic процъфтяват и колегите от Mandiant очакват те да продължат да се възползват от същата оперативна стратегия.

Анализаторите забелязват някои припокривания със заплахи от UNC1945, но все още нямат никакви конкретни връзки, за да направят сигурни заключения.

Употребата на рансъмуер беше много активна през последното тримесечие на 2021 г. Бяха наблюдавани 722 различни атаки, внедряващи 34 различни варианта.

Това голямо количество създава проблеми за IT отделите, което затруднява поддържането на индивидуалните групови тактики, индикаторите за компрометиране и възможностите за откриване.

В сравнение с третото тримесичие на 2021, последното тримесечие имаше 18% по-висок обем на атаките, докато сравненo с Q2 2021 води до разлика от 22%, коeто означава, че има тенденция за увеличаване на броя на атаките.

Най-разпространените варианти на рансъмуер през четвъртото тримесечие на 2021 г., според доклад на Intel 471, са LockBit 2.0 (29,7%), Conti (19%), PYSA (10,5%) и Hive (10,1%).

В сравнение с предходното тримесечие само PYSA имаше забележимо покачване на активността, което беше отбелязано и в доклад на NCC Group, който разгледа данните през ноември 2021 г.

Най-целенасоченият регион беше Северна Америка, която представлява почти половината от всички атаки на рансъмуер, споменати по-горе. Следва Европа с около 30%, оставяйки само 20% на останалия свят.

Статистиката е доста балансирана за целевите индустрии и само секторът за потребителски и индустриални продукти се откроява, като представлява една от четири атаки. Производството, професионалните услуги и секторът на недвижимите имоти също имат значителни дялове.

Когато погледнем това от гледна точка на тенденциите, в сравнение с данните за третото тримесечие на 2021 г., производственият сектор спада, докато на потребителските и промишлените продукти се повишават. В допълнение, науките за живота и здравеопазването също имат значителен ръст.

Тази промяна може да се дължи на сезонния интерес към пазаруване по време на Коледа и Черен петък/Кибер понеделник, което прави свързаните цели по-доходоносни.

Здравеопазването също получава по-голямо внимание, тъй като е близо края на годината. Вероятно поради зимата в северното полукълбо, която носи по-високи нива на предаване на вируси.

Групите за изнудване имат за цел да нарушат дейността на фирмите във възможно най-лошия момент, за да увеличат шансовете за бързо разрешаване на плащането на искания откуп.

Например, наскоро ФБР предупреди, че бандите за откупи обикновено се насочват към компании по време на сливания и придобивания, за да упражняват допълнително натиск по време на преговорите.

Въпреки това, в много случаи целевите компании са чисто опортюнистични по своята същност, при които бандите за рансъмуер просто атакуват всеки, до когото могат да получат достъп.

Новооткритият злонамерен софтуер за унищожаване на данни беше наблюдаван по-рано днес при атаки, насочени към украински организации и изтриване на данни в системи в компрометирани мрежи.

„Този ​​нов злонамерен софтуер изтрива потребителските данни и информацията за дялове от всички прикачени устройства“, обясниха от ESET Research Labs.

„Телеметрията на ESET показва, че е била наблюдавана в няколко десетки системи в ограничен брой организации.“

Въпреки че е проектиран да изтрива данни в домейни на Windows, на които е разположен, CaddyWiper използва функцията DsRoleGetPrimaryDomainInformation(), за да провери дали дадено устройство е домейн контролер. Ако е така, данните на домейн контролера няма да бъдат изтрити.

Това вероятно е тактика, използвана от нападателите, за да поддържат достъп вътре в компрометираните мрежи от организации, които са пострадали, като същевременно все още силно смущават операциите чрез изтриване на други критични устройства.

При анализиране PE заглавката на извадка от злонамерен софтуер, открита в мрежата на украинска организация, беше открито също, че злонамереният софтуер е бил разгърнат при атаки в същия ден, когато е бил компилиран.

„CaddyWiper не споделя никакво значимо сходство на кода с HermeticWiper, IsaacWiper или друг зловреден софтуер, известен ни. Извадката, която анализирахме, не беше цифрово подписана“, добавят от ESET.

„Подобно на внедряването на HermeticWiper, наблюдавахме, че CaddyWiper се разгръща чрез GPO, което показва, че нападателите са имали предварителен контрол върху мрежата на целта предварително.“

CaddyWiper е четвъртият злонамерен софтуер за изтриване на данни, използван при атаки в Украйна от началото на 2022 г., като анализаторите на ESET Research Labs по-рано откриха две други, а Microsoft – трета.

Един ден преди началото на руската инвазия в Украйна, на 23 февруари, изследователите на ESET забелязаха злонамерен софтуер за изтриване на данни, сега известен като HermeticWiper, използван в Украйна заедно с рансъмуеър атаки.

Те също така откриха софтуер за унищожаване на данни, който нарекоха IsaacWiper, и нов червей на име HermeticWizard, който нападателите използваха, за да изхвърлят полезни товари на HermeticWiper в деня, когато Русия нахлу в Украйна.

Microsoft също така откри wiper, който сега се проследява като WhisperGate, използван при атаки за изтриване на данни срещу Украйна в средата на януари, маскиран като ransomware.

Както каза президентът и заместник-председател на Microsoft Брад Смит, тези продължаващи атаки с разрушителен зловреден софтуер срещу украински организации „са били точно насочени“.

Това контрастира с безразборното нападение на злонамерен софтуер NotPetya в световен мащаб, което удари Украйна и други страни през 2017 г., атака, по-късно свързана с Sandworm, група за черно хакерство на ГРУ.

Подобни разрушителни атаки са част от хибридната война според украинската служба за сигурност (SSU) точно преди началото на войната.