樹莓派上的TinyShell後門程式如何建立C2通道？

UNC2891 (LightBasin) 如何利用樹莓派繞過銀行安全防禦建立 C2 通道

UNC2891（又稱 LightBasin）是一個以攻擊銀行系統聞名的駭客組織。近期，他們利用一台隱藏在銀行網路內部、具備 4G 功能的樹莓派來繞過安全防禦。樹莓派上執行的 TinyShell 後門程式透過行動數據建立了一個對外的指揮與控制（C2）通道。後續，攻擊者橫向移動到網路監控伺服器，並將陣地轉移到具備直接對外連網能力的郵件伺服器，確保存取權限的持續性。

攻擊手法：樹莓派的妙用

LightBasin 成員透過潛入或賄賂員工的方式，取得銀行分行的實體權限，並將配備 4G 數據機的樹莓派安裝在與 ATM 相同的網路交換器上。這使得攻擊者能夠繞過邊界防火牆，持續從遠端存取銀行內部網路。

高明的隱匿與偽裝技術

LightBasin 使用名為 "lightdm" 的後門程式進行橫向移動，偽裝成 Linux 系統上合法的 LightDM 顯示管理器，以避免被偵測。此外，他們將 tmpfs 和 ext4 這類替代檔案系統掛載於惡意程序的 /proc/[pid] 路徑之上，遮蔽相關的元資料，使其無法被鑑識工具偵測。銀行網路內部的網路監控伺服器被發現定期向樹莓派發出信標訊號，顯示該裝置被當作中樞跳板主機使用。這次攻擊目標是偽造 ATM 授權，以便進行詐騙性的現金提領，儘管 LightBasin 的計畫最終失敗。