Hackernews 编译,转载请注明出处:
据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机 *** ,并在不同银行使用伪造的卡进行未经授权的现金提款。
威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,该组织的一些战术、技术和程序共享与另一个名为UNC1945的组织有相似之处。
Mandiant 公司的研究人员在本周发布的一份新报告中称,这名演员进行的入侵涉及“高度的 OPSEC,利用公共和私人恶意软件、公用程序和脚本来移除证据,阻碍应急行动。”
更令人担忧的是,在某些案例中,这些攻击持续了几年,在整个过程中,黑客利用一个名为 CAKETAP 的 rootkit ,且仍未被发现,这个 rootkit 被设计用来隐藏 *** 连接、进程和文件。
Mandiant 公司能够从受害的 ATM 交换服务器中恢复内存检测数据,该公司指出,内核 rootkit 的一种变体具有专门功能,使其能够拦截卡和 PIN 验证信息,并使用被盗数据从 ATM 终端进行欺诈性的现金提款。
同时使用的还有两个后门,即 SLAPSTICK 和 TINYSHELL,它们都属于 UNC1945,用于获得对任务关键系统的持久远程访问,以及通过 rlogin、 telnet 或 SSH 进行 shell 执行和文件传输。
研究人员指出: “由于该组织熟悉基于 Unix 和 Linux 的系统,unc2891经常使用伪装成合法服务的值命名和配置他们的 TINYSHELL 后门,这些值可能会被检测人员忽略,比如 systemd (SYSTEMD)、名称服务缓存守护进程(NCSD)和 Linux at 守护进程(ATD)。”
此外,攻击链使用了各种恶意软件和公开可用的实用程序,包括-
研究人员说: “ UNC2891使用他们的技术和经验来充分利用 Unix 和 Linux 环境中经常出现的不明显的安全措施。”“虽然 UNC2891和 UNC1945之间的一些相似度是显而易见的,但不足以确定入侵是同一个威胁组织所为。”
消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文
SentinelOne 的 SentinelLabs 去年就曾发现 Microsoft Azure 的 Defender 存在多个安全漏洞,其中部分漏洞的严重程度和影响被评为“关键”。微软已经为所有的漏洞发布了补丁,但 SentinelLabs 敦促 Azure Defender for IoT 用...
Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并...
伦敦的大都会警察局(MPS)进行了英国有史以来最大的加密货币扣押,从一个涉嫌洗钱的人那里拿走了价值1.8亿英镑的加密货币。同时吗,美国司法部查封了与2016年Bitfinex黑客事件有关的价值36亿美元比特币,这是目前有史以来最大的加密货币或法币被盗资产的回收。 这些故事很重要,不仅因为它们允许对加...
美国总统拜登警告美国企业主管立即加强其公司的网络防御,准备应对潜在的来自俄罗斯的网络攻击,以报复使该国经济陷入瘫痪的制裁。拜登在一份白宫声明中写道,”根据不断变化的情报,政府正在重申以前的警告,即俄罗斯可能对美国进行恶意的网络攻击。” “我的政府将继续使用一切工具来阻止、破坏,并在必要时回应针对关...
东欧国家数字转型部负责人表示,由于大规模分布式拒绝服务(DDoS)攻击,多个乌克兰政府网站于周三下线了。DDoS攻击通过使用大量的请求来提供网页进而使网站陷入瘫痪。Mykhailo Fedorov在Telegram上表示,一些银行网站也被关闭了。 乌克兰外交部、部长内阁和议会网站在周三早些时候仍无...
BlackMatter勒索软件团伙袭击了爱荷华州的一家农业企业“新合作社”,并要求590万美元的赎金。 周一,几名安全研究人员最先关注了对这次黑客攻击事件,该公司也坦诚自己遭到了网络攻击,并相应地关闭了自己的系统。这是继5月份REvil团伙对JBS发起勒索软件攻击之后,对农业行业的又一次重大打击。研...