🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Phát hiện một nhóm tin tặc đang nhắm vào các máy ATM để ăn cắp tiền của các ngân hàng

20/03/2022

Một nhóm tấn công đã triển khai một rootkit mới nhằm vào các hệ thống Oracle Solaris với mục tiêu xâm phạm máy rút tiền tự động (ATM) và thực hiện rút tiền trái phép tại các ngân hàng khác nhau bằng các thẻ bị đánh cắp.

Nhóm này, đang được Công ty bảo mật Mandiant theo dõi với tên UNC2891, sử dụng một số chiến thuật, kỹ thuật và các hàm trùng lặp với một nhóm khác có tên UNC1945.

Mandiant cho biết các cuộc xâm nhập do nhóm này thực hiện "tận dụng các mã độc đã biết và chưa biết, sử dụng các tiện ích và đoạn mã để xóa bằng chứng và cản trở việc điều tra".

Đáng chú ý, một số cuộc tấn công đã kéo dài vài năm mà không hề bị phát hiện trong suốt thời gian đó bằng cách sử dụng một rootkit có tên là CAKETAP, được thiết kế để che giấu các kết nối mạng, tiến trình và tệp.

Mandiant, công ty đã khôi phục dữ liệu trong bộ nhớ từ một trong những máy chủ ATM bị xâm phạm, cho biết một biến thể rootkit với các tính năng chuyên biệt cho phép nó chặn bắt thông báo xác minh thẻ và mã PIN và sử dụng dữ liệu này để thực hiện hành vi gian lận tiền mặt, rút tiền từ các thiết bị ATM.

Cũng được sử dụng trong các cuộc tấn công là hai backdoor SLAPSTICK và TINYSHELL-được cho là của UNC1945, được dùng để truy cập trái phép vào các hệ thống quan trọng cũng như thực thi mã độc và truyền tệp thông qua rlogin, telnet hoặc SSH.

Các nhà nghiên cứu cho biết "UNC2891 thường đặt tên và cấu hình các backdoor để giả mạo các dịch vụ hợp pháp [như systemd, NCSD và ATD] nhằm giảm sự chú ý của các nhà điều tra và vượt qua kiểm tra".

Các phần mềm độc hại và tiện ích được dùng trong tấn công bao gồm:

- STEELHOUND - Một biến thể của STEELCORGI được sử dụng để giải mã và mã hóa các đoạn mã

- WINGHOOK - Một keylogger cho các hệ điều hành dựa trên Linux và Unix để ghi lại dữ liệu ở dạng mã hóa

- WINGCRACK - Một tiện ích được sử dụng để phân tích cú pháp nội dung được mã hóa được tạo bởi WINGHOOK

- WIPERIGHT - Một tiện ích ELF xóa các mục nhật ký liên quan đến một người dùng cụ thể trên các hệ thống dựa trên Linux và Unix

- MIGLOGCLEANER - Một tiện ích ELF xóa nhật ký hoặc xóa một số chuỗi nhất định khỏi nhật ký trên các hệ thống dựa trên Linux và Unix.

Nguồn: thehackernews.com.

scrolltop