原文信息

发布地址：1c3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Y4M7X3!0#2M7q4)9J5k6r3W2T1i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4g2F1j5K6t1^5z5e0q4Q4x3X3c8T1j5h3&6C8i4K6u0V1K9r3g2A6M7%4c8Q4x3V1j5`.
发布标题：UNC2891 Bank Heist: Physical ATM Backdoor & Linux Forensic Evasion Evasion
发布日期：2025年7月3日

一、内容概要

在调查网络入侵时，重点通常放在有效载荷、横向移动或影响上。但在许多现实案例中，初始访问既是公共研究也是内部事后分析中的盲点。

这篇博客揭示了一个由经济利益驱动的威胁行为者集团用来破坏关键银行基础设施的独特而隐秘的方法。它揭示了一种之前未被记录的反取证技术（现在已被MITRE ATT&CK收录），一种对进程列表不可见的后门存在，以及使用嵌入式硬件进行物理网络攻击的罕见实例。

二、攻击者介绍

（一）UNC2891

1、首次出现日期

UNC2891 是一个自 2017 年 11 月起活跃的网络威胁组织，其主要动机是获取经济利益。该组织以针对银行关键基础设施的高级持续性攻击而闻名。他们在 Linux、Unix 和 Oracle Solaris 等多种操作系统环境中具备深厚的技术能力，并使用一套自研的恶意软件工具，如 CAKETAP、TINYSHELL 和 SLAPSTICK，来实施攻击。

2、近期的攻击行动

Group-IB 是全球首家发现 UNC2891 使用物理手段入侵银行网络的安全机构。他们发现，该组织将一台树莓派（Raspberry Pi）设备直接安装在银行内部网络中，连接到与 ATM 相同的网络交换机，并通过 4G 调制解调器实现远程控制。这种攻击方式极为隐蔽，能够完全绕过传统的防火墙和边界安全防护。

此外，UNC2891 还使用了多种反取证技术来隐藏其踪迹。例如，他们利用 Linux 系统中的“挂载绑定”（bind mount）技术（在 MITRE ATT&CK 框架中编号为 T1564.013），将恶意进程伪装起来，使其在常规系统检查中无法被发现。这使得攻击者能够在银行内部网络中长期潜伏，悄悄横向移动，最终访问如 ATM 交易交换服务器等关键系统。

技能集

• Oracle Solaris

• Linux

• Unix

工具集

• CAKETAP — 一种用于操纵硬件安全模块（HSM）并伪造金融交易的 Rootkit，可绕过关键安全验证机制。

• TINYSHELL — 轻量级后门程序，提供远程命令执行能力，常用于建立隐蔽的命令与控制（C2）通道。

• SLAPSTICK — 用于窃取用户凭证（如用户名和密码）的恶意工具，支持从内存或配置文件中提取敏感信息。

• SUN4ME — 一套针对 Unix/Linux 系统的勘探与漏洞利用工具包，用于侦察目标环境并实现系统入侵。

• STEELCORGI — 自定义加壳工具，通过加密和混淆技术对恶意代码进行封装，以逃避安全检测。

• WINGHOOK 和 WINGCRACK — 一组配套工具：WINGHOOK 是 Unix/Linux 平台上的键盘记录器，用于捕获用户输入；WINGCRACK 是其对应的解码器，用于解析和还原窃取的数据。

• MIGLOGCLEANER — 日志清理工具，可篡改系统 Shell 命令历史记录和日志文件，掩盖攻击者的操作痕迹，实现反取证。

目标行业银行业

动机经济利益驱动

作案手法UNC2891 是一个以谋取经济利益为目的的网络攻击组织，长期专注于针对银行关键基础设施的攻击。该组织在 Linux 和各类 Unix 系统上具备深厚的技术能力，能够熟练利用这些系统的特性进行隐蔽入侵和持久化控制。

三、事件分析细节

（一）ATM 网络中被植入的物理后门

这个案例最不同寻常之处在于，攻击者通过物理接触的方式，在银行网络中安装了一台树莓派（Raspberry Pi）设备。这台设备被直接连接到与ATM相同的网络交换机上，相当于将其接入了银行的内部网络核心区域。更关键的是，该树莓派还配备了一个4G调制解调器，使得攻击者可以通过移动蜂窝网络远程访问该设备，从而绕过传统的防火墙和网络边界防护。

图1. UNC2891的工作流程。

攻击者利用 TINYSHELL 后门，通过动态DNS（Dynamic DNS）域名建立了一个向外连接的命令与控制（C2）通信通道。这种配置使攻击者能够持续访问银行的ATM网络，且所有通信均以“合法”出站流量的形式进行，从而完全绕过了防火墙、入侵检测系统等传统的外围网络安全防护措施。

（二）网络取证揭露隐藏的信标行为

尽管攻击者将设备部署得极为隐蔽，但通过对网络监控服务器进行深入的网络取证分析，调查人员仍发现了多项异常行为。其中最显著的是：每隔600秒（即每10分钟），系统就会向外发起一次规律性的“心跳”通信（称为“信标”），并且持续尝试连接到那台Raspberry Pi设备的929端口。

然而，在初步的系统排查（即“取证初步评估”）过程中，却未能发现与这些网络活动相关联的任何进程ID（PID）或可疑进程。这一反常现象引起了调查团队的高度警觉。

这引发了一个关键问题：

常规的取证工具在系统处于睡眠或空闲状态时，是否仍能准确捕获进程的运行状态？

由于初步排查未发现异常，调查人员怀疑攻击可能利用了系统状态的盲区来隐藏恶意活动，因此决定进一步研究系统运行状态对取证数据采集的影响。

为解答这一疑问，调查团队部署了一个自定义监控脚本。该脚本被设计为在10分钟内每秒轮询一次系统的Socket连接状态，从而实现对网络活动的高频率、细粒度监控。这种持续密集的采集方式，有助于发现那些短暂运行、定时触发或依赖特定系统状态的隐蔽恶意行为。

（三）发现后门的取证挑战

虽然网络连接清晰可见，但却无法找到与之对应的进程ID（PID），这一异常现象引发了调查人员的怀疑：系统中可能存在Rootkit或某种反取证技术，正在刻意隐藏恶意进程。

更令人担忧的是，在常规的进程列表检查中，完全没有任何可疑进程的踪迹。这种“有连接却无进程”的矛盾情况，表明攻击者可能已深入操作系统底层，干扰了正常的系统信息展示。

为了突破这一盲区，调查人员决定对系统进行内存转储（Memory Dump），通过分析内存中的实时运行数据，寻找在磁盘或进程列表中无法察觉的隐蔽恶意活动。

图2. 取证初步分析工具无法获取与该Socket关联的进程名称或进程ID

。

（四）后门进程的伪装

在内存审查过程中出现了两个可疑进程：

lightdm --session 11 19

表面上，这个过程看起来是合法的。但它的地点却很异常：

/tmp/lightdm (PID 8239)
/var/snap/.snapd/lightdm (PID 8914)

故意通过进程伪装来混淆后门进程。具体来说，二进制文件名为“lightdm”，模仿了Linux系统上常见的合法LightDM显示管理器。为了增强欺骗性，进程执行时使用的命令行参数看起来像是合法参数——例如，

lightdm –session child 11 19 — 企图躲避检测并在事后妥协调查中误导取证分析师。

这些后门积极建立与Raspberry Pi和内部邮件服务器的连接。

图3. 网络监控服务器持续向树莓派和邮件服务器发送信号。

（四）为什么在初步排查阶段未能发现这个后门？

尽管调查人员多次使用标准的取证初筛工具进行分析，但仍未能发现该后门。原因在于：攻击者利用了 Linux 系统中的 “绑定挂载”（Bind Mount） 技术，将恶意进程的运行信息（如 /proc/[PID] 目录）挂载到一个伪造的位置，从而欺骗系统工具，使其无法正确读取真实的进程信息。

这种手法使得后门进程在诸如 ps、top 或其他常规进程查看工具中完全“隐身”，从而成功逃避检测。更关键的是，在当时，这种技术尚未出现在任何公开的威胁情报或攻击案例报告中，属于一种罕见且隐蔽的反取证手段。

后来，这一技术因其在真实攻击中的实际应用，被正式收录进 MITRE ATT&CK 框架，编号为 T1564.013 – 隐藏痕迹：绑定挂载（Hide Artifacts: Bind Mounts），成为识别高级持续性威胁的重要指标之一。

tmpfs on /proc/8239 type tmpfs (rw,nosuid,nodev)
/dev/vda1 on /proc/8914 type ext4 (rw,relatime,errors=remount-ro,data=ordered)

想了解绑定挂载是如何工作的？请查看我们之前的博客文章，获取详细解释。

（五）UNC2891 的目标

Group-IB 的调查发现，攻击者的最终目标是银行的 ATM 交易交换服务器。他们计划在该服务器上部署一种名为 CAKETAP 的恶意程序（Rootkit），其专门设计用于篡改硬件安全模块（HSM）的响应，并伪造交易授权信息，从而实现未经授权的 ATM 现金提取，即“非法提款”。

幸运的是，在攻击者尚未完成最终攻击步骤、未能实际盗取资金之前，其整个行动链条已被成功阻断，避免了重大经济损失。

（六）事件总结

在这个案例中，网络监控服务器扮演了关键的“枢纽”角色——它几乎与数据中心内的所有核心服务器都存在网络连接。一旦该服务器被攻破，攻击者便以此为跳板，获得了在整个内部网络中横向移动的权限，进而逐步渗透至其他高价值目标系统。

攻击路径与持久控制机制：

• 邮件服务器具备直接的互联网连接

这一特性使其成为理想的“持久化立足点”（Pivot Point）。即使内部网络其他区域被隔离，攻击者仍可通过该服务器与外部保持通信。

• 树莓派设备被发现并移除后，攻击仍未中断

调查发现，攻击者早已在邮件服务器上部署了隐蔽后门。因此，即使物理设备（Raspberry Pi）被清除，他们仍能通过该后门维持对内网的访问，体现了攻击的持久性与冗余设计。

• 使用动态域名系统（DDNS）进行命令与控制（C2）

攻击者通过 DDNS 域名建立与恶意服务器的通信通道，这种方式具有高度隐蔽性： 隐藏真实IP和域名归属信息，增加追踪难度； 支持快速更换IP地址或切换攻击基础设施，即使某个IP被封禁或查封，也能迅速恢复通信，极大降低了攻击中断的风险。

图4. UNC2891的多跳访问路径。

这一结合物理、网络及基础设施控制的多跳访问路径使隔离工作尤为困难，凸显了UNC2891操作的复杂性。

检测与防御建议

建议采取以下措施，以检测或防范类似攻击：

• 监控挂载和卸载系统调用（通过 auditd、eBPF 等工具）。

• 若 /proc/[pid] 被挂载到 tmpfs 或外部文件系统，则触发警报。

• 阻止或在二进制文件从 /tmp 或 .snapd 路径执行时触发警报。

• 物理上保护交换机端口和 ATM 连接的基础设施。

• 在事件响应期间除磁盘外还捕获内存映像。

结论

我们的研究再次强调了以下几点：

• 取证分级工具本身并不足够—— 您需要内存和网络取证。

• Rootkits和Linux的隐蔽功能，例如绑定挂载，可以有效地绕过传统的事件响应手册。

• 物理和逻辑访问向量都必须纳入银行基础设施的威胁模型中。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！