De financieel gemotiveerde dreigingsacteur bekend als UNC2891 is waargenomen gericht op Automatic Teller Machine (ATM) -infrastructuur met behulp van een 4G-uitgeruste Raspberry Pi als onderdeel van een geheime aanval.
De cyber-fysieke aanval omvatte de tegenstander die gebruik maakte van hun fysieke toegang om het Raspberry PI-apparaat te installeren en het rechtstreeks op dezelfde netwerkschakelaar als de ATM te laten verbinden, waardoor het effectief in het netwerk van de doelbank werd geplaatst, zei Group-IB. Het is momenteel niet bekend hoe deze toegang is verkregen.
“De Raspberry Pi was uitgerust met een 4G -modem, waardoor externe toegang werd toegestaan via mobiele gegevens,” zei beveiligingsonderzoeker Nam Le Phuong in een woensdagrapport.
“Met behulp van de Tinyshell Backdoor heeft de aanvaller een uitgaande command-and-control (C2) -kanaal opgezet via een dynamisch DNS-domein. Deze opstelling maakte continue externe toegang tot het ATM-netwerk mogelijk, waarbij perimeter firewalls en traditionele netwerkverdedigingen volledig omzeilden.”
UNC2891 werd voor het eerst gedocumenteerd door Google-eigendom Mandiant in maart 2022, waarbij de groep wordt gekoppeld aan aanvallen op ATM-schakelnetwerken om ongeautoriseerde contante opnames bij verschillende banken uit te voeren met behulp van frauduleuze kaarten.
Centraal in de operatie stond een kernelmodule Rootkit genaamd Caketap die is ontworpen om netwerkverbindingen, processen en bestanden te verbergen, evenals intercept- en spoof -kaart- en pin -verificatieberichten van Hardware Security Modules (HSMS) om financiële fraude mogelijk te maken.
De hacking crew wordt beoordeeld om tactische overlappingen te delen met een andere dreigingsacteur UNC1945 (AKA Lightbasin), die eerder werd geïdentificeerd in gevaar brengende beheerders en opvallende doelen binnen de financiële en professionele adviesindustrieën.
Group-IB beschrijft de dreigingsacteur als het bezit van uitgebreide kennis van Linux en Unix-gebaseerde systemen en zei dat de analyse de backdoors met de naam “LightDM” op de naam van het slachtoffer heeft ontdekt op de Network Monitoring Server van het slachtoffer die zijn ontworpen om actieve verbindingen te leggen met de Raspberry Pi en de interne e-mailserver.
De aanval is belangrijk voor het misbruik van bindbevestigingen om de aanwezigheid van de achterdeur te verbergen voor proceslijsten en detectie te ontwijken.
Het einddoel van de infectie, zoals in het verleden, is om de Caketap -rootkit op de ATM -schakelserver te implementeren en frauduleuze ATM -contante opnames te vergemakkelijken. Het Singaporese bedrijf zei echter dat de campagne werd verstoord voordat de dreigingsacteur ernstige schade kon toebrengen.
“Zelfs nadat de Raspberry Pi was ontdekt en verwijderd, handhaafde de aanvaller interne toegang via een achterdeur op de mailserver,” zei Group-IB. “De dreigingsacteur maakte gebruik van een dynamisch DNS-domein voor command-and-control.”
