朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

admin 2024年10月16日12:12:49评论14 views字数 3219阅读10分43秒阅读模式

导 

据观察,朝鲜威胁组织使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金,作为以财务为动机的活动的一部分。

朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

一位自称 HaxRob 的安全研究员表示,这种恶意软件“安装在受感染网络内处理卡交易的支付交换机上,以便从 ATM 机上进行未经授权的现金提取” 。

2018 年 10 月,美国政府首次记录了FASTCash ,它被与朝鲜有关的对手用来实施自 2016 年底以来针对非洲和亚洲银行的 ATM 取款计划。

该机构当时指出:“FASTCash 计划远程入侵银行内部的支付交换应用服务器,以促进欺诈交易。”

“在 2017 年发生的一起事件中,HIDDEN COBRA 攻击者能够同时从位于 30 多个不同国家的 ATM 机上提取现金。在 2018 年发生的另一起事件中,HIDDEN COBRA 攻击者能够同时从位于 23 个不同国家的 ATM 机上提取现金。”

虽然之前的 FASTCash 工件具有运行 Microsoft Windows 的系统(包括上个月发现的一个)和 IBM AIX,但最新发现表明,用于渗透 Linux 系统的样本于 2023 年 6 月中旬首次提交给 VirusTotal 平台。

朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

该恶意软件采用为 Ubuntu Linux 20.04 编译的共享对象(“libMyFc.so”)的形式。它旨在拦截和修改用于借记卡和信用卡处理的ISO 8583交易消息,以启动未经授权的资金提取。

具体来说,它需要操纵由于预定义的持卡人账户列表的资金不足而导致的拒绝(磁条刷卡)交易信息,并批准他们以土耳其里拉提取随机数的资金。

每笔欺诈交易提取的资金从 12,000 到 30,000 里拉(350 到 875 美元)不等,与美国网络安全和基础设施安全局 (CISA) 于 2020 年 9 月详细介绍的Windows FASTCash 工件(“switch.dll”)相似。

研究人员表示:“Linux 变种的发现进一步强调了对充足检测能力的需求,而 Linux 服务器环境中往往缺乏这种能力。”

技术报告:https://doubleagent.net/fastcash-for-linux/

新闻链接:

https://thehackernews.com/2024/10/new-linux-variant-of-fastcash-malware.html

朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

今日安全资讯速递

APT事件

Advanced Persistent Threat

朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

https://thehackernews.com/2024/10/new-linux-variant-of-fastcash-malware.html

OilRig 利用 Windows 内核漏洞针对阿联酋和海湾地区开展间谍活动

https://thehackernews.com/2024/10/oilrig-exploits-windows-kernel-flaw-in.html

CISA 警告威胁组织利用 F5 BIG-IP Cookies 进行网络侦察

https://thehackernews.com/2024/10/cisa-warns-of-threat-actors-exploiting.html

网络攻击袭击了伊朗政府网站和核设施

https://securityaffairs.com/169693/cyber-warfare-2/cyber-attack-hit-iranian-nuclear-facilities.html

俄罗斯法院网站遭亲乌克兰黑客攻击后瘫痪

https://therecord.media/russian-court-websites-down-attack-claimed-pro-ukraine-group

为特朗普提供咨询服务的美国第一政策研究所称其系统遭到入侵

https://www.securityweek.com/america-first-policy-institute-a-group-advising-trump-says-its-systems-were-breached/

一般威胁事件

General Threat Incidents

Google Play 上超过 200 个恶意应用已被下载数百万次

https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/

暗网上发现近 1000 万份来自中东的被盗账户记录

https://www.kaspersky.com/about/press-releases/almost-10-million-of-stolen-account-records-from-the-middle-east-found-on-the-dark-web

大众汽车称勒索软件团伙声称数据被盗后 IT 基础设施未受影响

https://www.securityweek.com/volkswagen-says-it-infrastructure-not-affected-after-ransomware-gang-claims-data-theft/

新的恶意软件活动使用 PureCrypter Loader 来传播 DarkVision RAT

https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html

研究人员发现利用被盗代码签名证书的劫持加载程序恶意软件

https://thehackernews.com/2024/10/researchers-uncover-hijack-loader.html

微软称去年美国近 400 家医疗机构遭受勒索软件攻击

https://therecord.media/ransomware-healthcare-microsoft-last-year

趋势科技报告红队工具 EDRSilencer 被威胁组织利用,以绕过安全措施进行攻击

https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/

漏洞事件

Vulnerability Incidents

开源软件包入口点可能导致供应链攻击

https://www.securityweek.com/open-source-package-entry-points-may-lead-to-supply-chain-attacks/

GitHub Enterprise Server 中存在一个严重漏洞,可能导致未经授权访问易受攻击的实例

https://www.securityweek.com/github-patches-critical-vulnerability-in-enterprise-server/

Splunk Enterprise 更新修补远程代码执行漏洞(CVE-2024-45733)

https://www.securityweek.com/splunk-enterprise-update-patches-remote-code-execution-vulnerabilities/

新的 CounterSEVeillance 和 TDXDown 攻击针对 AMD 和 Intel TEE

https://www.securityweek.com/new-counterseveillance-and-tdxdown-attacks-target-amd-and-intel-tees/

朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月16日12:12:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金http://cn-sec.com/archives/3275223.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息