2025年7月31日Ravie Lakshmanan
UNC2891として知られる金銭目的の脅威アクターが、4G搭載のRaspberry Piを用いた隠密攻撃の一環として、ATM(現金自動預け払い機)インフラを標的にしていることが確認されました。
このサイバー・フィジカル攻撃では、攻撃者が物理的なアクセスを利用してRaspberry Piデバイスを設置し、ATMと同じネットワークスイッチに直接接続することで、ターゲット銀行のネットワーク内に実質的に侵入していたとGroup-IBは述べています。現時点では、どのようにしてこのアクセスが得られたのかは不明です。
「Raspberry Piには4Gモデムが搭載されており、モバイルデータ経由でリモートアクセスが可能でした」とセキュリティ研究者のNam Le Phuongは水曜日のレポートで述べています。
「TINYSHELLバックドアを使用して、攻撃者はダイナミックDNSドメインを介したアウトバウンドのコマンド&コントロール(C2)チャネルを確立しました。この構成により、ATMネットワークへの外部からの継続的なアクセスが可能となり、境界ファイアウォールや従来のネットワーク防御を完全に回避しました。」
UNC2891は、Google傘下のMandiantによって2022年3月に初めて記録され、グループがATMスイッチングネットワークを標的にして、不正なカードを使った複数の銀行での現金引き出しを実行した攻撃と関連付けられています。
この作戦の中心となったのはCAKETAPと呼ばれるカーネルモジュール型ルートキットで、ネットワーク接続、プロセス、ファイルを隠蔽するだけでなく、ハードウェアセキュリティモジュール(HSM)からのカードおよびPIN認証メッセージを傍受・偽装し、金融詐欺を可能にするよう設計されています。
このハッキンググループは、以前にマネージドサービスプロバイダーを侵害し、金融およびプロフェッショナルコンサルティング業界内の標的を攻撃していた脅威アクターUNC1945(別名LightBasin)と戦術的な共通点を持つと評価されています。
Group-IBによると、この脅威アクターはLinuxおよびUnix系システムに関する広範な知識を有しており、被害者のネットワーク監視サーバー上で「lightdm」と名付けられたバックドアを発見しました。これはRaspberry Piおよび内部メールサーバーへのアクティブな接続を確立するために設計されています。
この攻撃の重要な点は、バインドマウントの悪用によって、バックドアの存在をプロセス一覧から隠し、検知を回避していることです。
これまでと同様に、感染の最終目的はATMスイッチングサーバーにCAKETAPルートキットを展開し、不正なATM現金引き出しを容易にすることです。しかし、シンガポールの同社によれば、脅威アクターが深刻な被害を与える前に、このキャンペーンは阻止されました。
「Raspberry Piが発見されて撤去された後も、攻撃者はメールサーバー上のバックドアを通じて内部アクセスを維持していました」とGroup-IBは述べています。「脅威アクターはコマンド&コントロールのためにダイナミックDNSドメインを利用していました。」
翻訳元: https://thehackernews.com/2025/07/unc2891-breaches-atm-network-via-4g.html