Se ha observado a un actor de amenazas motivado financieramente implementando un rootkit previamente desconocido dirigido a los sistemas Oracle Solaris con el objetivo de comprometer las redes de conmutaci\u00f3n de cajeros autom\u00e1ticos (ATM) y realizar retiros de efectivo no autorizados en diferentes bancos utilizando tarjetas fraudulentas.<\/p>\n
La firma de inteligencia de amenazas y respuesta a incidentes Mandiant est\u00e1 rastreando el grupo bajo el nombre de UNC2891, con algunas de las t\u00e1cticas, t\u00e9cnicas y procedimientos del grupo que comparten superposiciones con las de otro grupo denominado UNC1945<\/a>.<\/p>\n Las intrusiones organizadas por el actor involucran “un alto grado de OPSEC y aprovechan el malware, las utilidades y los scripts p\u00fablicos y privados para eliminar evidencia y obstaculizar los esfuerzos de respuesta”, investigadores de Mandiant. dijo<\/a> en un nuevo informe publicado esta semana.<\/p>\n A\u00fan m\u00e1s preocupante, los ataques duraron varios a\u00f1os en algunos casos, durante los cuales el actor permaneci\u00f3 sin ser detectado aprovechando un rootkit llamado CAKETAP, que est\u00e1 dise\u00f1ado para ocultar conexiones de red, procesos y archivos.<\/p>\n Mandiant, que pudo recuperar datos forenses de la memoria de uno de los servidores conmutadores de cajeros autom\u00e1ticos v\u00edctimas, se\u00f1al\u00f3 que una variante del rootkit del kernel ven\u00eda con funciones especializadas que le permit\u00edan interceptar mensajes de verificaci\u00f3n de tarjetas y PIN y usar los datos robados para realizar transacciones fraudulentas de efectivo. retiros de cajeros autom\u00e1ticos.<\/p>\n Tambi\u00e9n se utilizan dos puertas traseras conocidas como SLAPSTICK y TINYSHELL, ambas atribuidas a UNC1945 y se utilizan para obtener acceso remoto persistente a sistemas de misi\u00f3n cr\u00edtica, as\u00ed como para la ejecuci\u00f3n de shell y transferencias de archivos a trav\u00e9s de rlogin, telnet o SSH.<\/p>\n “De acuerdo con la familiaridad del grupo con los sistemas basados \u200b\u200ben Unix y Linux, UNC2891 a menudo nombr\u00f3 y configur\u00f3 sus puertas traseras TINYSHELL con valores que se hicieron pasar por servicios leg\u00edtimos que los investigadores podr\u00edan pasar por alto, como systemd (SYSTEMD), daemon de cach\u00e9 de servicio de nombres (NCSD) , y Linux at daemon (ATD)”, se\u00f1alaron los investigadores.<\/p>\n Adem\u00e1s, las cadenas de ataque han empleado una variedad de malware y utilidades disponibles p\u00fablicamente, que incluyen:<\/p>\n “[UNC2891] usa su habilidad y experiencia para aprovechar al m\u00e1ximo la visibilidad reducida y las medidas de seguridad que a menudo est\u00e1n presentes en los entornos Unix y Linux”, dijeron los investigadores. “Si bien algunas de las superposiciones entre UNC2891 y UNC1945 son notables, no es lo suficientemente concluyente para atribuir las intrusiones a un solo grupo de amenazas”.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Agencias-de-EE-UU-y-el-Reino-Unido-advierten-sobre.png\")
<\/a><\/div>\n![\"Rootkit](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647624082_884_Los-piratas-informaticos-apuntan-a-las-redes-bancarias-con-un.jpeg\" "\\"Rootkit")
<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646327406_168_Parches-criticos-emitidos-para-los-productos-Cisco-Expressway-Series-TelePresence.jpeg\")
<\/a><\/div>\n\n