FASTCash活动:Lazarusz组织是如何从ATM中拿走数百万美元
引言
正文
其实没什么正文,正文看上面那篇报告里的原文链接就好了。
赛门铁克发现了lazarus组织在“FASTCash”行动中所使用的关键工具。
为了进行伪造提款,Lazarus首先攻击目标银行的网络并破坏了处理ATM交易的交换机应用服务器。
一旦这些服务器遭到入侵,就会部署未知的恶意软件。该恶意软件反过来拦截伪造的现金提取请求并发送虚假的批准回复,允许攻击者从ATM窃取现金。
为了允许他们从ATM进行伪造提款,攻击者将恶意的高级交互式执行(AIX)可执行文件注入到金融交易网络的交换机应用服务器上的正在运行的合法进程中,从而处理ATM交易网络。
恶意可执行文件包含构造伪造的ISO 8583消息。(ISO 8583是金融交易消息传递的标准)。
关键在于此前未记录此可执行文件的用途,并认为攻击者是使用脚本来操纵服务器上的合法软件以启用欺诈活动,实际上使用的是恶意的可执行文件在进行活动。
研究员经过分析发现,这个可执行文件实际上是恶意软件,其有两个主要功能:
它监视传入的消息并拦截攻击者生成的欺诈性事务请求,以防止它们到达处理事务的交换机应用程序。
它包含生成欺诈性交易请求的三个欺诈性响应的其中一个响应逻辑。
一旦安装在服务器上,Fastcash木马将读取所有传入的网络流量,扫描传入的ISO 8583请求消息。
它将读取所有邮件的主帐号(PAN),如果发现任何包含攻击者使用的PAN号,恶意软件将尝试修改这些邮件。
如何修改消息取决于每个受害者。
然后,它将发送批准欺诈性提款请求的虚假响应消息,最后成功提款。
以下是Fastcash木马用于生成虚假响应的响应逻辑的一个示例。此特定示例具有基于传入的攻击者请求构建三个虚假响应之一的逻辑:
对于消息类型指示符== 200(ATM交易)和服务点进入模式以90开始(仅限磁条):
如果处理代码以3开始(余额查询):
响应代码= 00(已批准)
否则,如果主要帐号被攻击者列入黑名单:
响应代码= 55(无效的PIN)
所有其他处理代码(使用非黑名单的PAN):
响应代码= 00(已批准)
在这种情况下,攻击者似乎已经建立了根据自己的帐号黑名单有选择地拒绝交易的能力。
但是,此示例中未实现此功能,并且检查黑名单始终返回“False”。
除此之外,每种Fastcash变种都使用不同的响应逻辑。
可以确认每个变种都是针对特定的事务处理网络量身定制的,因此具有自己的定制响应逻辑。
用于执行FASTCash攻击的PAN编号与真实账户有关。根据US-CERT报告,用于启动交易的大多数账户都有最小的账户活动或零余额。攻击者如何控制这些帐户仍不清楚。
攻击者可能会自己打开帐户并向这些帐户的卡发出取款请求。
另一种可能是攻击者使用被盗卡直接进行攻击。
不支持的AIX操作系统版本的银行应用程序服务器同样遭受了lazarus的入侵。
最新发现的Fastcash活动中的样本:
Injector
D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE
DLL
CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C
10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA
3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C
详情请点击原文链接。
安全资源:
1、疑似“Group 123”APT团伙利用HWP软件未公开漏洞的定向攻击分析
https://ti.360.net/blog/articles/analysis-of-group123-sample-with-hwp-exploitkit/
2、浅谈大型互联网的企业入侵检测及防护策略
3、
针对西班牙语用户的 SMiShing 攻击的一环,在 Google Play 上伪装银行应用木马。
https://blog.trendmicro.com/trendlabs-security-intelligence/fake-banking-app-found-on-google-play-used-in-smishing-scheme/
早进早优惠,欢迎各位