导 读
据观察,朝鲜威胁组织使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金,作为以财务为动机的活动的一部分。
一位自称 HaxRob 的安全研究员表示,这种恶意软件“安装在受感染网络内处理卡交易的支付交换机上,以便从 ATM 机上进行未经授权的现金提取” 。
2018 年 10 月,美国政府首次记录了FASTCash ,它被与朝鲜有关的对手用来实施自 2016 年底以来针对非洲和亚洲银行的 ATM 取款计划。
该机构当时指出:“FASTCash 计划远程入侵银行内部的支付交换应用服务器,以促进欺诈交易。”
“在 2017 年发生的一起事件中,HIDDEN COBRA 攻击者能够同时从位于 30 多个不同国家的 ATM 机上提取现金。在 2018 年发生的另一起事件中,HIDDEN COBRA 攻击者能够同时从位于 23 个不同国家的 ATM 机上提取现金。”
虽然之前的 FASTCash 工件具有运行 Microsoft Windows 的系统(包括上个月发现的一个)和 IBM AIX,但最新发现表明,用于渗透 Linux 系统的样本于 2023 年 6 月中旬首次提交给 VirusTotal 平台。
该恶意软件采用为 Ubuntu Linux 20.04 编译的共享对象(“libMyFc.so”)的形式。它旨在拦截和修改用于借记卡和信用卡处理的ISO 8583交易消息,以启动未经授权的资金提取。
具体来说,它需要操纵由于预定义的持卡人账户列表的资金不足而导致的拒绝(磁条刷卡)交易信息,并批准他们以土耳其里拉提取随机数的资金。
每笔欺诈交易提取的资金从 12,000 到 30,000 里拉(350 到 875 美元)不等,与美国网络安全和基础设施安全局 (CISA) 于 2020 年 9 月详细介绍的Windows FASTCash 工件(“switch.dll”)相似。
研究人员表示:“Linux 变种的发现进一步强调了对充足检测能力的需求,而 Linux 服务器环境中往往缺乏这种能力。”
技术报告:https://doubleagent.net/fastcash-for-linux/
新闻链接:
https://thehackernews.com/2024/10/new-linux-variant-of-fastcash-malware.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金
https://thehackernews.com/2024/10/new-linux-variant-of-fastcash-malware.html
OilRig 利用 Windows 内核漏洞针对阿联酋和海湾地区开展间谍活动
https://thehackernews.com/2024/10/oilrig-exploits-windows-kernel-flaw-in.html
CISA 警告威胁组织利用 F5 BIG-IP Cookies 进行网络侦察
https://thehackernews.com/2024/10/cisa-warns-of-threat-actors-exploiting.html
网络攻击袭击了伊朗政府网站和核设施
https://securityaffairs.com/169693/cyber-warfare-2/cyber-attack-hit-iranian-nuclear-facilities.html
俄罗斯法院网站遭亲乌克兰黑客攻击后瘫痪
https://therecord.media/russian-court-websites-down-attack-claimed-pro-ukraine-group
为特朗普提供咨询服务的美国第一政策研究所称其系统遭到入侵
https://www.securityweek.com/america-first-policy-institute-a-group-advising-trump-says-its-systems-were-breached/
一般威胁事件
General Threat Incidents
Google Play 上超过 200 个恶意应用已被下载数百万次
https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/
暗网上发现近 1000 万份来自中东的被盗账户记录
https://www.kaspersky.com/about/press-releases/almost-10-million-of-stolen-account-records-from-the-middle-east-found-on-the-dark-web
大众汽车称勒索软件团伙声称数据被盗后 IT 基础设施未受影响
https://www.securityweek.com/volkswagen-says-it-infrastructure-not-affected-after-ransomware-gang-claims-data-theft/
新的恶意软件活动使用 PureCrypter Loader 来传播 DarkVision RAT
https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html
研究人员发现利用被盗代码签名证书的劫持加载程序恶意软件
https://thehackernews.com/2024/10/researchers-uncover-hijack-loader.html
微软称去年美国近 400 家医疗机构遭受勒索软件攻击
https://therecord.media/ransomware-healthcare-microsoft-last-year
趋势科技报告红队工具 EDRSilencer 被威胁组织利用,以绕过安全措施进行攻击
https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/
漏洞事件
Vulnerability Incidents
开源软件包入口点可能导致供应链攻击
https://www.securityweek.com/open-source-package-entry-points-may-lead-to-supply-chain-attacks/
GitHub Enterprise Server 中存在一个严重漏洞,可能导致未经授权访问易受攻击的实例
https://www.securityweek.com/github-patches-critical-vulnerability-in-enterprise-server/
Splunk Enterprise 更新修补远程代码执行漏洞(CVE-2024-45733)
https://www.securityweek.com/splunk-enterprise-update-patches-remote-code-execution-vulnerabilities/
新的 CounterSEVeillance 和 TDXDown 攻击针对 AMD 和 Intel TEE
https://www.securityweek.com/new-counterseveillance-and-tdxdown-attacks-target-amd-and-intel-tees/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论