安全研究员HaxRob对新的FASTCash“支付交换”恶意软件进行分析,该恶意软件瞄准Linux系统。该研究员发现的变种之前未被知晓,目标是Ubuntu 22.04 LTS发行版。在2018年11月,Symantec首先发现了FastCashTrojan,该恶意软件由朝鲜相关APT组Lazarus在ATM攻击中使用。专家们报告称,ATP组至少从2016年开始使用该恶意软件,从亚洲和非洲地区的小型和中型银行的ATM中盗取数百万美元。
“FASTCash”一词用于指代朝鲜归属的恶意软件,该恶意软件安装在网络中支付交换系统中,以便未经授权地从ATM中提取现金。“ reads HaxRob发布的分析。之前的FASTCash恶意软件目标是IBM AIX(FASTCash for UNIX)和Microsoft Windows(FASTCash for Windows)。
2018年10月,US-CERT发布了一份由DHS、FBI和财政部共同签发的技术警报,警告称朝鲜APT黑客组“Hidden Cobra”(也称Lazarus Group和Guardians of Peace)正在使用名为“FASTCash”的ATM现金出库方案。
之前未检测到的Linux变种是在2023年6月提交给VirusTotal的,但是它可能在2022年4月之后在VMware VM上开发的Ubuntu 20.04上。恶意代码拦截了磁stripe交易的未决响应,并将其随机金额修改为特定卡持有人账户中的土耳其里拉。
恶意代码显示了与之前的Windows和AIX变体的多项相似性。FASTCash Linux变体作为共享库被注入到支付交换服务器中,通过‘ptrace’系统调用拦截ISO8583交易信息。恶意代码特定地拦截“不足资金”响应,然后将其修改为“批准”,从而在ATM和PoS终端上进行未经授权的交易。每笔非法交易中生成的随机金额的范围是12,000到30,000土耳其里拉。
Linux变体的功能相比其Windows前身有所减少,但是仍然保留了关键功能:拦截磁stripe交易未决响应的消息,然后将其随机金额修改为特定卡持有人账户中的土耳其里拉。
一旦交易信息被修改以显示批准代码和金额,银行将授权交易,允许黑客攻击者在ATM上提取现金的中继。
“Linux变体的发现进一步强调了Linux服务器环境中足够检测能力的需求。使用ptrace系统调用拦截交易信息的进程注入技术应该被任何商业EDR或开源Linux代理程序标记,以便在配置正确的情况下检测使用ptrace系统调用的情况。”报告还包括指控标志(IoCs)。
正如人们所说,预防比治疗更好,CISA的建议可以被总结为:
-
实施芯片和PIN要求以保护借记卡。
-
需要和验证发起方金融请求响应消息中的消息身份验证代码。
-
对于芯片和PIN交易,验证授权响应加密。
原文始发于微信公众号(黑猫安全):FASTCash新变种Linux版本恶意软件瞄准金融系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论