LightBasin 如何利用 lightdm 後門程式進行橫向移動？

LightBasin 如何利用 lightdm 後門程式進行橫向移動

LightBasin (又稱 UNC2891) 是一個專門鎖定銀行系統的駭客組織，以結合實體入侵和遠端控制技術著稱。該組織會透過收買銀行員工或直接潛入銀行分行，取得銀行的實體存取權限，以便在銀行內部網路中植入具備 4G 功能的樹莓派，從而繞過銀行的安全防禦措施。

滲透與植入：lightdm 的偽裝技巧

LightBasin 在橫向移動時，會使用名為 "lightdm" 的後門程式，偽裝成 Linux 系統中合法的 LightDM 顯示管理器，藉此隱匿其惡意活動。此外，他們還使用 tmpfs 和 ext4 等替代檔案系統掛載於惡意程序的 /proc/[pid] 路徑之上，隱藏相關的元資料，使其無法被鑑識工具偵測。

搭配樹莓派繞過防火牆

LightBasin 組織將配備 4G 數據機的樹莓派安裝在與 ATM 相同的網路交換器上。樹莓派上運行的 TinyShell 後門程式透過行動數據建立一個對外的指揮與控制 (C2) 通道，讓 LightBasin 能遠端操控銀行系統。銀行網路內部的網路監控伺服器會定期向樹莓派發出信標訊號，顯示該裝置被用作中樞跳板主機。這次攻擊的目標是偽造 ATM 授權，以便進行詐騙性的現金提領，雖然 LightBasin 的計畫最終並未成功，但也顯示了其高度的技術能力與縝密的攻擊計畫。