Угрозы банкоматам никогда не умирают: новая волна атак группы UNC2891

Согласно отчету, UNC2891 представляет собой финансово мотивированную группу, активную как минимум с ноября 2017 года. Особенностью группировки является глубокое понимание сред Linux, Unix и Oracle Solaris, что редко встречается даже среди продвинутых постоянных угроз. Эксперты отмечают, что после периода относительного затишья атак на банкоматы в конце 2010-х годов, UNC2891 знаменует тревожное возрождение этой угрозы в адаптированной и усовершенствованной форме.

Технический арсенал группировки впечатляет разнообразием. В частности, они используют руткит CAKETAP для манипуляции HSM и подделки транзакций, бэкдоры TINYSHELL и SLAPSTICK, кейлоггер WINGHOOK, а также утилиты для очистки логов LOGBLEACH и MIGLOGCLEANER. Все вредоносные программы тщательно маскируются под легитимные системные файлы и используют сложные техники обфускации.

Одним из наиболее примечательных случаев стало обнаружение устройства Raspberry Pi, физически подключенного к коммутатору банкомата в сети финансового учреждения. Это беспрецедентная тактика позволила злоумышленникам полностью обойти периметровые защиты. Устройство использовало 4G-модем для установления удаленного доступа и было обнаружено только в июле 2024 года, хотя первые подключения датировались февралем того же года.

Эксперты Group-IB исследовали три основных инцидента с участием UNC2891. В феврале 2022 года была обнаружена компрометация более 30 внутренних систем банка, включая производственные серверы и серверы коммутации банкоматов. Самое раннее свидетельство проникновения относилось к ноябрю 2017 года. В ноябре 2023 года была атакована другая финансовая организация, где злоумышленники использовали уникальные "магические пароли" для латерального перемещения. Третий инцидент в июле 2024 года подтвердил возвращение группировки к ранее атакованной организации.

Особый интерес представляет операция по обналичиванию средств через денежных мулов. Группа нанимала их через рекламу в Google и Telegram, используя самоуничтожающиеся сообщения через сервис Privnote для коммуникации. Мулы получали оборудование для клонирования карт и подробные инструкции через TeamViewer. Процесс обналичивания контролировался удаленно через голосовые и видео-звонки.

Эксперты подчеркивают сложность атрибуции из-за операционной безопасности группировки. Несмотря на сходства с другой известной группой UNC1945, ключевые различия в мотивации и инструментарии указывают на отдельную операционную единицу. Критическим доказательством стало обнаружение одинаковых криптографических ключей в образцах STEELCORGI из разных организаций, что свидетельствует либо об ошибке операторов, либо о том, что они не являются оригинальными разработчиками кода.

Group-IB предоставляет подробные рекомендации по защите, включая сегментацию сетей, мониторинг целостности файлов, развертывание MFA и регулярные оценки компрометации. Специалисты предупреждают, что кажущийся спад угроз для банкоматов в последние годы привел к ослаблению защиты этой критической инфраструктуры, что теперь используют современные группировки типа UNC2891.

IPv4

• 180.250.112.188
• 185.243.114.26
• 69.172.229.249

Domains

• dvamh2h1abhlky.ddns.net
• dvsedcabc9lpd.webredirect.org
• mailer5nkdid.ddns.net
• rvhthaa1abc19lp.dyndns.org
• rvsoaisabwluddn.ddns.net
• wsmtp1d.webredirect.org

SHA256

• 018bfe5b9f34108424dd63365a14ab005e249fdd
• 0a082d60bcf9095c47b71c7bde3b20acabf5ddd2
• 0c59e8197ae767f8a755eaabe0a8f1d37c994d28
• 5412bd5e38f105a690dc738e2cb7eefb57a8955f
• 5d340d983f852bb7c0c8b89740bb030f28b617cf
• 6faf9ece21b8e5b990c038972ab9b3b4ed65ea6c
• 72beb2ca829899552401e19c615755139955091a
• a2d7ce164cd137b064bdf75ac8a3eb3ffb4b91a8
• a85b407e8ea23b9ca39db93ede52fe42bf0bd9ed
• b940d731a75e77b2204d7ab14d62fb646b852382
• caf5bb8a37365fe75f215ef06c5bd5416ad7a851
• ec7465ef5f87680e938b02dfe33ab82b1a744614