Skip to content

IoT OT Security News

  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News

Unix で新たな rootkit が発見:Oracle Solaris に展開され ATM データを操作

New Unix rootkit used to steal ATM banking data

2022/03/17 BleepingComputer — 金銭的な動機を持つハッカー LightBasin の活動を追う脅威アナリストたちは、このグループが ATM から銀行データを盗み、不正な取引を行うために使用している、未知の Unix rootkit を発見したと報告した。このハッカー集団は、2020年にマネージド・サービス・プロバイダーを危険にさらし、そのクライアントを犠牲にしていることが確認されているが、最近ではカスタム・インプラントを用いて、通信会社をターゲットにしているようだ。

Mandiant の新しいレポートでは、銀行カード詐欺と深刻なシステム侵害にフォーカスする、LightBasin の活動の証拠を、研究者たちが提示している。

銀行データの傍受

LightBasin の新しい root キットは、Caketap という名前の Unix カーネル・モジュールであり、Oracle Solaris オペレーティング・システムを実行しているサーバーに展開される。

Caketap がロードされると、ネットワーク接続/プロセス/ファイルなどが隠される一方で、いくつかのフックがシステム機能にインストールされ、リモートコマンドとコンフィグレーションなどが受信される。

アナリストたちが観測したコマンドは以下の通りである。

  • CAKETAP モジュールをロード済みモジュール・リストに追加
  • getdents64 フックのシグナル文字列の変更
  • ネットワーク・フィルタの追加 (p形式)
  • ネットワーク・フィルタの削除
  • 現在のスレッドの TTY を getdents64 フックのフィルタリングから回避
  • すべての TTY を getdents64 フックのフィルタリング対象に設定
  • 現在のコンフィグレーションを表示

    Caketap の最終的な目標は、侵入した ATM スイッチ・サーバーから、銀行のカード情報と PIN 認証データを傍受し、盗んだデータを使って不正な取引を促進することだ。

    Caketap により傍受されたメッセージは、PIN/磁気ストライプ/EMV チップの暗号化キーを、生成/管理/検証するために銀行業界で使用される、改ざん防止ハードウェア・デバイスである Payment Hardware Security Module (HSM) へと送信される。Caketap は、カード確認メッセージを操作してプロセスを中断し、不正な銀行カードに一致するメッセージを停止した後に、有効な応答を生成により入れ替えを行う。

    第二段階では、不正ではない PAN (Primary Account Numbers) に一致する、有効なメッセージを内部に保存し、HSM に送信することで、通常の取引に影響を与えることなく、インプラント操作をステルス化する。

    Mandiant はレポートにおいて、「CAKETAP は、UNC2891 (LightBasin) により、大規模なオペレーションの一部として活用され、不正な銀行カードを用いて、いくつかの銀行の ATM 端末から不正に現金を引き出すことに成功したと考えられる」と説明している。

    以前の攻撃において、この脅威アクターと結び付けられたツール群には、Slapstick/Tinyshell/Steelhound/Steelcorgi/Wingjook/Wingcrack/Binbash/Wiperight/Mignogcleaner などがある。これらの、すべてのツールは、LightBasin 攻撃において、依然として展開されていることを、Mandiant は確認している。また、LightBasin では、Caketap/Slapstick/Tinyshell が、すべてのステップで使用されていると、Mandiant は述べている。
LightBasin using Caketap, Slapstick, and Tinyshell
LightBasin uses Caketap, Slapstick, and Tinyshell in every step (Mandiant)


狡猾なターゲティング

LightBasin は、高度に熟練した脅威アクターであり、ミッション・クリティカルな Unix/Linux システムの、セキュリティが楽観視されている点を悪用する。これらのシステムは、本質的には安全であると扱われることが多く、その不明瞭さのため、ほとんど無視されている。

したがって、LightBasic のような敵対者が成功する場所であり、今後も同じ作戦戦略を駆使していくだろうと、Mandiant は予想している。アナリストたちは、UNC1945 の脅威クラスターと重複する部分を発見したが、妥当性のある結論にいたる、具体的なリンクは発見されていない。

LightBasin に関しては、2021年10月19日の「中国由来のサイバースパイ:世界のテレコム・ネットワークから個人情報を窃取?」に登場していていました。この記事では、CrowdStrike の分析が用いられ、LightBasin と UNC1945 を結びつけ、2016年ころから通信分野を標的にしていたと述べています。今日の記事で Mandiant は UNC2891 と分類し、UNC1945 との重複は認めながらも、妥当性のある結論には至っていないと述べています。

Share this:

  • Tweet
Like Loading...
Unknown's avatarAuthor AiototsecPosted on March 17, 2022March 28, 2022Categories APT, CyberAttack, DataBreach, DataLeak, Literacy, Malware, Research, TTP, _Finance, _OpenSourceTags APT, ATM, Caketap, Cyber Attack, Data Breach, Data Leak, Finance, HSM, LightBasin, Linux, Literacy, Malware, Open Source, Oracle Solaris, PAN, Payment Hardware Security Module, Primary Account Numbers, Research, Rootkit, TTP, UNC1945, UNC2891, Unix

Post navigation

Previous Previous post: TrickBot による MikroTik ルーターの侵害:C2 サーバー連携のプロキシとして機能させる
Next Next post: Cyclops Blink ボットネット:ロシアから ASUS ルーターを狙っている

Categories Dropdown

  • Twitter
  • Facebook
March 2022
M T W T F S S
 123456
78910111213
14151617181920
21222324252627
28293031  
« Feb   Apr »

Top Posts & Pages

  • Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?
  • Microsoft Office ログイン時の Something Went Wrong:改善の第一弾とは?
  • CodeRabbit 本番環境サーバにおける RCE 脆弱性:100 万件以上のリポジトリに影響が生じた可能性
  • 70種類のペンテスト・ツールを統合:NETREAPER が提供するシンプルなメニュー・ベースの環境とは?
  • Apache Tika Core の脆弱性 CVE-2025-66516 が FIX:悪意の PDF を介した情報漏洩
  • React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン
  • Microsoft 2025-12 月例アップデート:3件のゼロデイを含む 57件の脆弱性に対応
  • LockBit 5.0 のインフラが漏洩:判明した IP アドレスとドメインのブロックが必須
  • CISA KEV 警告 25/12/09:D-Link ルータの脆弱性 CVE-2022-37055 を登録
  • NVIDIA DGX Spark の 14件の脆弱性が FIX:任意のコード実行や DoS 攻撃の可能性

Categories

API APT Asia AuthN AuthZ BruteForce BugBounty CyberAttack DarkWeb DataBreach DataLeak DDoS DoubleExtortion Exploit Literacy LOLbin MageCartAttack Malware MCP MisConfiguration NHI Outage ParadigmShift Privacy Protection RaaS Ransomware RAT Repository Research Resilience Scammer SecTools SocialEngineering SupplyChain TTP Uncategorized Vulnerability WateringHoleAttack Zero Trust _AI/ML _CDN _Cloud _Container _CryptCcurrency _Defence _Education _Finance _Government _HealthCare _Human _ICS _IDS/IPS _Industry _Infrastructure _Mobile _OpenSource _PLC _Regulation _Retail _RTOS _Space _Statistics _Storage _Telecom _Transportation

Archives

  • December 2025 (46)
  • November 2025 (156)
  • October 2025 (177)
  • September 2025 (172)
  • August 2025 (165)
  • July 2025 (176)
  • June 2025 (192)
  • May 2025 (216)
  • April 2025 (192)
  • March 2025 (208)
  • February 2025 (181)
  • January 2025 (185)
  • December 2024 (172)
  • November 2024 (166)
  • October 2024 (184)
  • September 2024 (171)
  • August 2024 (183)
  • July 2024 (188)
  • June 2024 (156)
  • May 2024 (156)
  • April 2024 (155)
  • March 2024 (151)
  • February 2024 (131)
  • January 2024 (132)
  • December 2023 (116)
  • November 2023 (131)
  • October 2023 (124)
  • September 2023 (101)
  • August 2023 (111)
  • July 2023 (110)
  • June 2023 (113)
  • May 2023 (129)
  • April 2023 (127)
  • March 2023 (129)
  • February 2023 (118)
  • January 2023 (138)
  • December 2022 (106)
  • November 2022 (114)
  • October 2022 (120)
  • September 2022 (118)
  • August 2022 (133)
  • July 2022 (97)
  • June 2022 (117)
  • May 2022 (94)
  • April 2022 (112)
  • March 2022 (132)
  • February 2022 (105)
  • January 2022 (128)
  • December 2021 (111)
  • November 2021 (100)
  • October 2021 (110)
  • September 2021 (131)
  • August 2021 (105)
  • July 2021 (105)
  • June 2021 (103)
  • May 2021 (72)
  • April 2021 (58)

Categories

  • API (238)
  • APT (523)
  • Asia (398)
  • AuthN AuthZ (789)
  • BruteForce (66)
  • BugBounty (73)
  • CyberAttack (3,201)
  • DarkWeb (228)
  • DataBreach (550)
  • DataLeak (194)
  • DDoS (164)
  • DoubleExtortion (15)
  • Exploit (1,361)
  • Literacy (2,281)
  • LOLbin (57)
  • MageCartAttack (14)
  • Malware (1,421)
  • MCP (16)
  • MisConfiguration (57)
  • NHI (8)
  • Outage (106)
  • ParadigmShift (181)
  • Privacy (240)
  • Protection (649)
  • RaaS (121)
  • Ransomware (721)
  • RAT (777)
  • Repository (325)
  • Research (1,210)
  • Resilience (133)
  • Scammer (614)
  • SecTools (210)
  • SocialEngineering (47)
  • SupplyChain (404)
  • TTP (1,001)
  • Uncategorized (11)
  • Vulnerability (4,503)
  • WateringHoleAttack (4)
  • Zero Trust (382)
  • _AI/ML (306)
  • _CDN (4)
  • _Cloud (364)
  • _Container (73)
  • _CryptCcurrency (40)
  • _Defence (162)
  • _Education (8)
  • _Finance (160)
  • _Government (1,037)
  • _HealthCare (47)
  • _Human (51)
  • _ICS (85)
  • _IDS/IPS (182)
  • _Industry (221)
  • _Infrastructure (129)
  • _Mobile (162)
  • _OpenSource (1,385)
  • _PLC (39)
  • _Regulation (158)
  • _Retail (76)
  • _RTOS (6)
  • _Space (26)
  • _Statistics (415)
  • _Storage (70)
  • _Telecom (77)
  • _Transportation (56)
  • Tracking
  • In The Era
  • CISA KEV
  • Security by Design
  • Statistics
  • About
IoT OT Security News Blog at WordPress.com.
  • Reblog
  • Subscribe Subscribed
    • IoT OT Security News
      • Join 170 other subscribers
    • Already have a WordPress.com account? Log in now.
    • IoT OT Security News
    • Subscribe Subscribed
    • Sign up
    • Log in
    • Copy shortlink
    • Report this content
    • View post in Reader
    • Manage subscriptions
    • Collapse this bar
%d