
UNC2891 olarak bilinen finansal olarak motive olmuş bir tehdit grubu, 4G donanımlı bir ahududu PI cihazını doğrudan bir ATM ağına fiziksel olarak kurarak bankacılık altyapısına sofistike bir saldırı düzenledi.
Kampanya, kritik finansal sistemleri hedeflemek için fiziksel erişimi ileri anti-forensik teknikleriyle birleştiren nadir bir siber suçlu örneğini temsil ediyor.
Sonuçta tamamlanmadan önce engellenen saldırı, tehdit aktörlerinin bankacılık ağlarındaki fiziksel güvenlik açıklarından yararlanmak için geleneksel dijital sızma yöntemlerinin ötesinde nasıl geliştiğini gösterdi.
Key Takeaways
1. Hackers used a Raspberry Pi with 4G to breach ATM networks, bypassing defenses.
2. They hid malware using an advanced Linux method and disguised it as legitimate processes.
3. Standard forensic tools failed; only deep memory and network analysis exposed the attack.
4. Banks must safeguard both physical and digital assets and employ advanced forensic techniques.
Müfettişler, ATM ile doğrudan aynı ağ anahtarına bağlı Raspberry Pi’yi keşfettiler ve cihazı etkili bir şekilde bankanın dahili ağ çevresine yerleştirdiler.
Fiziksel arka kapı kalıcı erişim sağlar
Saldırganlar, Raspberry Pi’yi 4G modem ile donattı ve geleneksel çevre güvenlik duvarlarını ve ağ savunmalarını tamamen atlayan mobil veri bağlantıları aracılığıyla uzaktan komut ve kontrol işlemlerini sağladı.
TinyShell adlı özel bir arka kapı kullanan cihaz, dinamik DNS alanları aracılığıyla giden iletişim kanallarını kurdu ve tehlikeye atılan ağa sürekli harici erişim sağladı.
“Bu cihaz doğrudan ATM ile aynı ağ anahtarına bağlandı ve bunu bankanın dahili ağına etkili bir şekilde yerleştirdi” dedi. Kurulum, saldırganların geleneksel ağ izleme sistemleri aracılığıyla algılamadan kaçınırken sürekli erişimi sürdürmelerini sağladı.

Belki de en önemlisi, araştırma UNC2891’in, tespit araçlarından kötü niyetli süreçleri gizlemek için Linux Bind bağlarını içeren daha önce belgelenmemiş bir anti-forensik tekniği kullandığını ortaya koydu.
Bu yöntem o zamandan beri resmi olarak t1564.013 tekniği olarak ATT & CK çerçevesinde kataloglanmıştır (Artefaktları Gizle: Bağlantıları Bağlama).
Saldırganlar, Linux Systems’ta bulunan standart LightDM ekran yöneticisini taklit eden “LightDM” adlı meşru sistem süreçleri olarak maskelenen backdoors konuşlandırdı.
Bununla birlikte, bu kötü niyetli ikili dosyalar/TMP/Lightdm ve /var/snap/.snapd/lightdm dahil olmak üzere olağandışı dizinlerde yer aldı ve meşru görünecek şekilde tasarlanmış komut satırı argümanları.
Standart adli triyaj araçları bu süreçleri tespit edemedi, çünkü tehdit aktörleri, iyi huylu olanlar ile kötü niyetli işlem dizinlerini kaplamak için Bind bağlarını kullandığından ve konvansiyonel analiz yöntemlerine görünmez olan arka fırınları etkili bir şekilde kullandı.
UNC2891 kampanyasının nihai hedefi, donanım güvenlik modülünü (HSM) yanıtlarını manipüle etmek ve hileli ATM nakit para çekme işlemlerini kolaylaştırmak için tasarlanmış sofistike bir rootkit olan Caketap’ı dağıtmaktı.
Kötü amaçlı yazılımlar, normal işlemlerin görünümünü korurken yetkisiz işlemleri sağlayarak kart ve pin doğrulama mesajlarını kesecek şekilde tasarlanmıştır.
Saldırı, geleneksel adli yaklaşımlardaki kritik boşlukları vurguladı. İlk triyaj, sistem rölanti durumları sırasında gizlendikleri için, kötü niyetli aktiviteyi ortaya çıkarmak için bellek adli tıp ve sürekli ağ izlemesi gerektirdiği için arka kapıları açığa çıkaramadı.
Güvenlik uzmanları artık birkaç savunma önlemi uygulamasını önerir: Mount ve UMount System çağrılarını Auditd veya EBPF gibi araçlar aracılığıyla izleme, alışılmadık /proc /[pid] Montajlar, geçici dizinlerden yürütmeleri engelleme, fiziksel ağ altyapısının güvence altına alınması ve olay yanıt prosedürlerine bellek analizinin dahil edilmesi.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches