鑽石舞台

跟蹤 LightBasin 活動的威脅分析人員（一個出於經濟動機的黑客組織）報告發現了一個以前未知的 Unix rootkit，該 rootkit 用於竊取 ATM 銀行數據並進行欺詐交易。

最近觀察到特定的攻擊者群體針對具有定製植入物的電信公司，而早在 2020 年，他們被發現危害託管服務提供商並使其客戶受害。

在 Mandiant 的一份新報告中，研究人員提供了 LightBasin 活動的進一步證據，重點關注銀行卡欺詐和關鍵系統的入侵。

利用您的銀行數據

LightBasin 的新 rootkit 是一個名為「Caketap」的 Unix 內核模塊，部署在運行 Oracle Solaris 操作系統的服務器上。

加載後，Caketap 隱藏網絡連接、進程和文件，同時將幾個掛鈎安裝到系統函數中以接收遠程命令和配置。

分析師觀察到的命令如下：

將 CAKETAP 模塊添加回加載的模塊列表

更改 getdents64 掛鈎的信號字符串

添加網絡過濾器（格式 p）

刪除網絡過濾器

將當前線程 TTY 設置為不被 getdents64 鈎子過濾

將所有 TTY 設置為由 getdents64 掛鈎過濾

顯示當前配置

Caketap 的最終目標是從被破壞的 ATM 交換機服務器中截獲銀行卡和 PIN 驗證數據，然後使用被盜數據進行未經授權的交易。

Caketap 截獲的消息發往支付硬件安全模塊 (HSM)，這是一種防篡改硬件設備，用於銀行業，用於生成、管理和驗證 PIN、磁條和 EMV 芯片的加密密鑰。

Caketap 操縱卡驗證消息來破壞流程，阻止那些匹配欺詐性銀行卡的消息，並生成有效響應。

在第二階段，它會在內部保存與非欺詐性 PAN（主帳號）匹配的有效消息，並將其發送到 HSM，這樣常規客戶交易就不會受到影響，並且植入操作保持隱秘。

「我們認為，UNC2891 (LightBasin) 利用 CAKETAP 作為大型操作的一部分，成功使用欺詐性銀行卡從多家銀行的 ATM 終端進行未經授權的現金提取，」 Mandiant 的報告解釋道。

在之前的攻擊中與攻擊者相關的其他工具包括 Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight 和 Mignogcleaner，Mandiant 確認所有這些工具仍部署在 LightBasin 攻擊中。

LightBasin 在每一步都使用 Caketap、Slapstick 和 Tinyshell(Mandiant)

精準定位

LightBasin 是一個技術嫻熟的威脅參與者，它利用任務關鍵型 Unix 和 Linux 系統中的寬鬆安全性，這些系統通常被視為本質安全或由於其晦澀難懂而在很大程度上被忽略。

這正是像 LightBasic 這樣的對手茁壯成長的地方，Mandiant 希望他們繼續利用相同的運營策略。

至于歸因，分析人員發現了與 UNC1945 威脅集群的一些重疊，但還沒有任何具體的聯繫可以在這方面得出安全的結論。