Một nhóm tấn công đã triển khai một rootkit mới nhằm vào các hệ thống Oracle Solaris với mục tiêu xâm phạm máy rút tiền tự động (ATM) và thực hiện rút tiền trái phép tại các ngân hàng khác nhau bằng các thẻ bị đánh cắp.
Nhóm này, đang được Công ty bảo mật Mandiant theo dõi với tên UNC2891, sử dụng một số chiến thuật, kỹ thuật và các hàm trùng lặp với một nhóm khác có tên UNC1945.
Mandiant cho biết các cuộc xâm nhập do nhóm này thực hiện "tận dụng các mã độc đã biết và chưa biết, sử dụng các tiện ích và đoạn mã để xóa bằng chứng và cản trở việc điều tra".
Đáng chú ý, một số cuộc tấn công đã kéo dài vài năm mà không hề bị phát hiện trong suốt thời gian đó bằng cách sử dụng một rootkit có tên là CAKETAP, được thiết kế để che giấu các kết nối mạng, tiến trình và tệp.
Mandiant, công ty đã khôi phục dữ liệu trong bộ nhớ từ một trong những máy chủ ATM bị xâm phạm, cho biết một biến thể rootkit với các tính năng chuyên biệt cho phép nó chặn bắt thông báo xác minh thẻ và mã PIN và sử dụng dữ liệu này để thực hiện hành vi gian lận tiền mặt, rút tiền từ các thiết bị ATM.
Cũng được sử dụng trong các cuộc tấn công là hai backdoor SLAPSTICK và TINYSHELL-được cho là của UNC1945, được dùng để truy cập trái phép vào các hệ thống quan trọng cũng như thực thi mã độc và truyền tệp thông qua rlogin, telnet hoặc SSH.
Các nhà nghiên cứu cho biết "UNC2891 thường đặt tên và cấu hình các backdoor để giả mạo các dịch vụ hợp pháp [như systemd, NCSD và ATD] nhằm giảm sự chú ý của các nhà điều tra và vượt qua kiểm tra".
Các phần mềm độc hại và tiện ích được dùng trong tấn công bao gồm:
- STEELHOUND - Một biến thể của STEELCORGI được sử dụng để giải mã và mã hóa các đoạn mã
- WINGHOOK - Một keylogger cho các hệ điều hành dựa trên Linux và Unix để ghi lại dữ liệu ở dạng mã hóa
- WINGCRACK - Một tiện ích được sử dụng để phân tích cú pháp nội dung được mã hóa được tạo bởi WINGHOOK
- WIPERIGHT - Một tiện ích ELF xóa các mục nhật ký liên quan đến một người dùng cụ thể trên các hệ thống dựa trên Linux và Unix
- MIGLOGCLEANER - Một tiện ích ELF xóa nhật ký hoặc xóa một số chuỗi nhất định khỏi nhật ký trên các hệ thống dựa trên Linux và Unix.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một mạng botnet mới có tên là Cyclops Blink đang nhắm mục tiêu đến các bộ định tuyến của ASUS để thu thập và lấy cắp dữ liệu trên các thiết bị.
Tín nhiệm mạng | Những người bảo trì OpenSSL đã phát hành các bản vá để khắc phục một lỗ hổng bảo mật mức cao trong thư viện phần mềm của họ có thể gây ra từ chối dịch vụ (DoS).
Tín nhiệm mạng | Ủy ban bảo vệ dữ liệu Ireland đã phạt Meta 17 triệu euro vì một loạt vi phạm bảo mật theo luật GDPR của Liên minh châu Âu trong khu vực.
Tín nhiệm mạng | Vào thứ Hai, một số trang web của chính phủ Israel đã bị gián đoạn hoạt động do một cuộc tấn công từ chối dịch vụ (DDoS).
Tín nhiệm mạng | Năm 2021, sự tập trung của các tác nhân đe dọa trên nền tảng di động đã tăng lên so với những năm trước, các chiến dịch phát tán mã độc, tấn công lừa đảo và những nỗ lực khai thác các lỗ hổng zero-day nhằm vào người dùng di động cũng gia tăng đáng kể.
Tín nhiệm mạng | Phát hiện chiến dịch phát tán mã độc mới sử dụng chiêu trò lừa đảo Valorant trên YouTube để lừa người chơi tải xuống và cài đặt mã độc đánh cắp thông tin RedLine.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
