LightBasin如何利用替代檔案系統來隱藏惡意程式？

LightBasin 如何利用替代檔案系統來隱藏惡意程式？

LightBasin（又稱 UNC2891）是一個以攻擊銀行系統聞名的駭客組織。近期發現的攻擊事件中，LightBasin 組織使用了一台具備 4G 功能的樹莓派，偷偷藏在銀行網路內部，藉此繞過安全防禦。這個單板電腦被實體連接到 ATM 網路交換器，從而建立了一條進入銀行內部網路的隱形通道，讓攻擊者得以進行橫向移動並部署後門程式。

Group-IB 在調查網路上的可疑活動時發現了這次入侵事件，攻擊目標是偽造 ATM 授權，以便進行詐騙性的現金提領。儘管 LightBasin 的計畫最終失敗，但這次事件顯示了一種結合了實體與遠端存取的高階混合式攻擊，並採用多種反鑑識技術來維持高度的隱密性。

LightBasin 的攻擊手法與隱匿技術

在最新的案件中，LightBasin 成員透過潛入或賄賂內部員工的方式，取得了銀行分行的實體權限，並將配備 4G 數據機的樹莓派安裝在與 ATM 相同的網路交換器上。這台裝置的對外連網能力，讓攻擊者得以繞過邊界防火牆，持續從遠端存取銀行內部網路。樹莓派上執行了 TinyShell 後門程式，攻擊者利用它透過行動數據建立對外的指揮與控制（C2）通道。

LightBasin 也運用了高明的隱匿與偽裝技術。用於橫向移動的後門程式被命名為「lightdm」，以模仿 Linux 系統上合法的 LightDM 顯示管理器。此外，LightBasin 將 tmpfs 和 ext4 這類替代檔案系統，掛載於惡意程序的 /proc/[pid] 路徑之上，實質上遮蔽了相關的元資料（metadata），使其無法被鑑識工具偵測。銀行網路內部的網路監控伺服器被發現會透過特定連接埠向樹莓派發出信標訊號，表明該裝置被當作中樞跳板主機使用。