跟踪 LightBasin 活动的威胁分析人员（一个出于经济动机的黑客组织）报告发现了一个以前未知的 Unix rootkit，该 rootkit 用于窃取 ATM 银行数据并进行欺诈交易。

最近观察到特定的攻击者群体针对具有定制植入物的电信公司，而早在 2020 年，他们被发现危害托管服务提供商并使其客户受害。

在 Mandiant 的一份新报告中，研究人员提供了 LightBasin 活动的进一步证据，重点关注银行卡欺诈和关键系统的入侵。

利用您的银行数据

LightBasin 的新 rootkit 是一个名为“Caketap”的 Unix 内核模块，部署在运行 Oracle Solaris 操作系统的服务器上。

加载时，Caketap 隐藏网络连接、进程和文件，同时将几个挂钩安装到系统函数中以接收远程命令和配置。

分析师观察到的命令如下：

• 将 CAKETAP 模块添加回加载的模块列表
• 更改 getdents64 挂钩的信号字符串
• 添加网络过滤器（格式 p）
• 删除网络过滤器
• 将当前线程 TTY 设置为不被 getdents64 钩子过滤
• 将所有 TTY 设置为由 getdents64 挂钩过滤
• 显示当前配置

Caketap 的最终目标是从被破坏的 ATM 交换机服务器中截获银行卡和 PIN 验证数据，然后使用被盗数据进行未经授权的交易。

Caketap 截获的消息发往支付硬件安全模块 (HSM)，这是一种防篡改硬件设备，用于银行业，用于生成、管理和验证 PIN、磁条和 EMV 芯片的加密密钥。

Caketap 操纵卡验证消息来破坏流程，阻止那些匹配欺诈性银行卡的消息，并生成有效响应。

在第二阶段，它会在内部保存与非欺诈性 PAN（主帐号）匹配的有效消息，并将其发送到 HSM，这样常规客户交易就不会受到影响，并且植入操作保持隐秘。

“我们认为，UNC2891 (LightBasin) 利用 CAKETAP 作为大型操作的一部分，成功使用欺诈性银行卡从多家银行的 ATM 终端进行未经授权的现金提取，”  Mandiant 的报告解释道。

在之前的攻击中与攻击者相关的其他工具包括 Slapstick、Tinyshell、Steelhound、Steelcorgi、Wingjook、Wingcrack、Binbash、Wiperight 和 Mignogcleaner，Mandiant 确认所有这些工具仍部署在 LightBasin 攻击中。

精准定位

LightBasin 是一个技术娴熟的威胁参与者，它利用任务关键型 Unix 和 Linux 系统中的宽松安全性，这些系统通常被视为本质安全或由于其晦涩难懂而在很大程度上被忽略。

这正是像 LightBasic 这样的对手茁壮成长的地方，Mandiant 希望他们继续利用相同的运营策略。

至于归因，分析人员发现了与 UNC1945 威胁集群的一些重叠，但还没有任何具体的联系可以在这方面得出安全的结论。