サイバーセキュリティ研究者は、インドネシアの2つの銀行を標的にした、複数年にわたるUNC2891のATM不正キャンペーンの全容を解明した。
7月上旬に特定されたRaspberry PiベースのATM侵入 に加え、最新のGroup-IBの調査は、UNC2891脅威グループが、マネーミュールの勧誘、ATMで使用するクローンカードの作成、現金引き出しネットワークの調整を伴う、はるかに大規模なキャンペーンの一部として活動していたことを示している。
報告書によると、UNC2891脅威グループは、銀行A(2022年2月)、銀行B(2023年11月)、そして再び銀行A(2024年7月)に対して3つの異なる攻撃を実施し、脅威アクターは各攻撃の作成に同じSTEELCORGIパッキングツールを使用した。
Group-IBは、UNC2891が銀行のシステムを侵害するために用いられた技術をはるかに超えて広がる、広範な資金引き出しネットワークを運用していたことを突き止めた。この脅威グループは、Googleに広告を作成し、Telegramチャンネルに情報を投稿してマネーミュールを勧誘していた。
潜在的なマネーミュールを見つけると、彼らにクローンカード用機器を提供し、それを郵便サービスでミュールに発送した。ミュールはその後、TeamViewerによるリアルタイムアクセスおよび/またはハンドラーとの電話連携を用いてATMから資金を引き出した。
高度なPINバイパスと永続的アクセス
UNC2891は、ATM取引の検証を操作するために設計された高度なルートキットであるCAKETAPを含む、堅牢なマルウェアパッケージを開発した。このルートキットにより攻撃者は、正規のPIN検証メッセージを傍受して置き換えることができ、ATMの検証プロセスを回避できた。
CAKETAPはまた、ハードウェア・セキュリティ・モジュール(HSM)からのARQC応答を操作し、攻撃者がクローンカードで検証プロトコルを通過できるようにした。
追加の高度なATMセキュリティについて読む:SuperCard Xがリアルタイムの非接触ATM不正を可能に
永続性は、侵害された数十のシステム上にカスタム開発されたバックドア一式を用いて確保された:
- TINYSHELLは動的DNSを使用してUNC2891のC2サーバーへの秘匿接続を作成した
- SLAPSTICKは、以前に侵害していたPAMライブラリを用いて認証情報を収集した
- 偵察ツールキットであるSUN4MEは、ネットワークトポロジーの詳細なマップを作成した
冗長性は、DNSトンネリング、OpenVPN接続、暗号化されたHTTPSチャネルなど、複数の通信手段を提供することで維持された。
アンチ・フォレンジックと帰属
UNC2891脅威グループは、LOGBLEACHおよびMIGLOGCLEANERのログ消去ツールを使用して、システムログから自らの行為の痕跡を削除した。また、バックドアが再起動のたびに自動的に起動するよう、initスクリプトやsystemdサービスファイルも設置していた。
マルウェアの構成要素の多くは一般的なファイル名で命名され、/procファイルシステムのマウントといった手法により発見しにくくされていた。
Group-IBは、数年にわたって発生した3つの別個の攻撃において、STEELCORGIに埋め込まれた類似の暗号鍵が共有されていたため、UNC2891に帰属する攻撃は関連していると確信している。
セキュリティ研究者によると、UNC2891脅威グループは2022年2月のインシデントだけで銀行Aの30以上のシステムを侵害できており、同グループが標的組織内で永続的なプレゼンスを維持できたことを示している。
「近年、ATMに焦点を当てたサイバー犯罪が減少しているように見えることで、多くの防御側はこの攻撃対象領域の優先度を下げてきた――予算、監査、脅威モデルにおいて。これは危険な誤りになり得る」 とGroup-IBは警告した。
「UNC2891は、ATMの脅威が消えたのではなく、単に進化しただけであることの証拠だ。物理的アクセスのベクターと深く組み込まれたツールによって強化された今回の再来は、金融侵害における新たな章を示唆している」
翻訳元: https://www.infosecurity-magazine.com/news/unc2891-money-mule-network-atm/
