Un pirate \u00e0 motivation financi\u00e8re a \u00e9t\u00e9 observ\u00e9 en train de d\u00e9ployer un rootkit auparavant inconnu ciblant les syst\u00e8mes Oracle Solaris dans le but de compromettre les r\u00e9seaux de commutation des guichets automatiques bancaires (GAB) et d’effectuer des retraits d’esp\u00e8ces non autoris\u00e9s dans diff\u00e9rentes banques \u00e0 l’aide de cartes frauduleuses.<\/p>\n
La soci\u00e9t\u00e9 de renseignements sur les menaces et de r\u00e9ponse aux incidents Mandiant suit le cluster sous le nom UNC2891, certaines des tactiques, techniques et proc\u00e9dures du groupe partageant des chevauchements avec celles d’un autre cluster surnomm\u00e9 UNC1945<\/a>.<\/p>\n Les intrusions mises en sc\u00e8ne par l’acteur impliquent “un degr\u00e9 \u00e9lev\u00e9 d’OPSEC et tirent parti des logiciels malveillants, des utilitaires et des scripts publics et priv\u00e9s pour supprimer les preuves et entraver les efforts de r\u00e9ponse”, ont d\u00e9clar\u00e9 les chercheurs de Mandiant. mentionn\u00e9<\/a> dans un nouveau rapport publi\u00e9 cette semaine.<\/p>\n Plus inqui\u00e9tant encore, les attaques ont dur\u00e9 plusieurs ann\u00e9es dans certains cas, au cours desquelles l’acteur est rest\u00e9 non d\u00e9tect\u00e9 en exploitant un rootkit appel\u00e9 CAKETAP, con\u00e7u pour dissimuler les connexions r\u00e9seau, les processus et les fichiers.<\/p>\n Mandiant, qui a pu r\u00e9cup\u00e9rer les donn\u00e9es m\u00e9dico-l\u00e9gales de la m\u00e9moire de l’un des serveurs de commutateur ATM victimes, a not\u00e9 qu’une variante du rootkit du noyau \u00e9tait dot\u00e9e de fonctionnalit\u00e9s sp\u00e9cialis\u00e9es qui lui permettaient d’intercepter les messages de v\u00e9rification de carte et de code PIN et d’utiliser les donn\u00e9es vol\u00e9es pour effectuer de l’argent frauduleux. retraits aux terminaux ATM.<\/p>\n Deux portes d\u00e9rob\u00e9es connues sous le nom de SLAPSTICK et TINYSHELL, toutes deux attribu\u00e9es \u00e0 UNC1945, sont \u00e9galement utilis\u00e9es pour obtenir un acc\u00e8s \u00e0 distance persistant aux syst\u00e8mes critiques ainsi que l’ex\u00e9cution du shell et les transferts de fichiers via rlogin, telnet ou SSH.<\/p>\n “Conform\u00e9ment \u00e0 la familiarit\u00e9 du groupe avec les syst\u00e8mes bas\u00e9s sur Unix et Linux, UNC2891 nommait et configurait souvent ses portes d\u00e9rob\u00e9es TINYSHELL avec des valeurs qui se faisaient passer pour des services l\u00e9gitimes susceptibles d’\u00eatre ignor\u00e9s par les enqu\u00eateurs, tels que systemd (SYSTEMD), le d\u00e9mon de cache du service de noms (NCSD) , et le Linux at daemon (ATD) \u00bb, ont soulign\u00e9 les chercheurs.<\/p>\n De plus, les cha\u00eenes d’attaque ont utilis\u00e9 une vari\u00e9t\u00e9 de logiciels malveillants et d’utilitaires accessibles au public, notamment –<\/p>\n “[UNC2891] utilisent leurs comp\u00e9tences et leur exp\u00e9rience pour tirer pleinement parti de la visibilit\u00e9 r\u00e9duite et des mesures de s\u00e9curit\u00e9 souvent pr\u00e9sentes dans les environnements Unix et Linux \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Bien que certains chevauchements entre UNC2891 et UNC1945 soient notables, ils ne sont pas assez concluants pour attribuez les intrusions \u00e0 un seul groupe de menaces.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Les-logiciels-malveillants-piratant-les-medias-sociaux-se-propagent-via.png\")
<\/a><\/div>\n![\"Rootkit](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647628994_502_Les-pirates-informatiques-ciblent-les-reseaux-bancaires-avec-un-nouveau.jpeg\" "\\"Rootkit")
<\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n\n