导语:赛门铁克发现了Lazarus用于执行ATM攻击的工具FASTCash。
2018年10月2日,US-CERT、国土安全部、财政部和联邦调查局发出警报。根据这一最新警告是,Hidden Cobra(美国政府对Lazarus的称呼)一直在进行FASTCash攻击,2016年起就开始从亚洲和非洲的银行窃取自动柜员机(ATM)的资金。
Lazarus是一个非常活跃的攻击组织,涉及网络犯罪和间谍活动。该组织最初以其间谍活动和一些备受瞩目的破坏性攻击而闻名,包括2014年对索尼公司的攻击。最近,Lazarus也参与了出于经济动机的攻击,其中包括来自孟加拉国中央银行的8100万美元盗窃案和WannaCry勒索软件。
根据US-CERT的报告,赛门铁克研究发现了该组织在近期金融攻击浪潮中使用的关键组件。这项名为“FASTCash”的行动使Lazarus欺骗性的清空了自动取款机中的现金。为了进行欺诈性提款,Lazarus首先入侵了目标银行的网络并控制了处理ATM交易的交换机应用服务器。
一旦这些服务器遭到入侵,就会被部署之前未知的恶意软件(Trojan.Fastcash)。该恶意软件反过来拦截欺诈性的Lazarus现金提取请求并发送虚假的批准回复,允许攻击者从ATM窃取现金。
根据美国政府的警告,2017年发生的一起事件中,Lazarus从30多个国家的ATM机同时提取现金。在2018年的另一起重大事件中,盗取的现金来自23个不同国家的自动取款机。到目前为止,Lazarus FASTCash估计已经盗取了数千万美元。
一、FASTCash攻击细节
为了允许从ATM进行欺骗性提款,攻击者将恶意的高级交互式执行(AIX)可执行文件注入到金融交易网络交换机应用服务器上正在运行的合法进程中,在此情况下是处理ATM交易的网络。恶意可执行文件包含构造欺诈性ISO 8583消息的逻辑,ISO 8583是金融交易消息传递的标准。之前没有记录反映此可执行文件的用途。之前一直认为攻击者使用脚本来操纵服务器上的合法软件来准许欺诈活动。
但是,赛门铁克的分析发现,这个可执行文件实际上是恶意软件,我们将其命名为Trojan.Fastcash。Trojan.Fastcash有两个主要功能:
1.监视传入的消息并拦截攻击者生成的欺诈性事务请求,以阻止它们到达处理事务的交换机应用程序。
2.包含生成欺诈性交易请求响应的逻辑,该逻辑视情生成三个响应之一。
一旦安装在服务器上,Trojan.Fastcash将读取所有传入的网络流量,扫描传入的ISO 8583请求消息。它将读取所有消息的主帐号(PAN),如果发现包含攻击者使用的PAN号,恶意软件将尝试修改这些消息。如何修改消息取决于受害机构。然后,它将发送批准欺诈性提款请求的虚假响应消息。结果是,Lazarus攻击者通过自动取款机取款的尝试获得批准。
以下是Trojan.Fastcash用于生成虚假响应的响应逻辑的一个示例。此特定示例的逻辑基于传入的攻击者请求构建三个虚假响应之一:
对于消息类型指示符== 200(ATM交易)和以90开始的服务点进入模式(仅限磁条):
· 如果处理代码以3开始(余额查询):响应代码= 00(已批准)
· 否则,如果主要帐号被攻击者列入黑名单:响应代码= 55(无效的PIN)
· 所有其他处理代码(使用非黑名单的PAN):响应代码= 00(已批准)
在这种情况下,攻击者似乎已经具备了根据自己的帐号黑名单,有选择的拒绝交易的能力。但是,此示例中未实现此功能,并且检查黑名单始终返回“False”。
赛门铁克发现了几种不同的Trojan.Fastcash变体,每种变体都使用不同的响应逻辑。我们相信每个变体都是针对特定的事务处理网络量身定制的,因此具有自己的定制响应逻辑。
用于执行FASTCash攻击的PAN与真实账户有关。根据US-CERT报告,用于启动交易的大多数账户都有最小的账户余额或零余额。攻击者如何控制这些帐户仍不清楚。攻击者可能会自己打开帐户并使用相应的银行卡提出取款请求。另一种可能性是攻击者使用被盗卡进行攻击。
在迄今为止报告的所有FASTCash攻击中,攻击者已经控制了运行不再受支持的AIX操作系统版本的银行应用程序服务器,其版本超出了Service Pack支持日期的最后期限。
二、Lazarus介绍
Lazarus是一个非常活跃的组织,涉及网络犯罪和间谍活动。Lazarus最初以参与间谍活动和一些备受瞩目的破坏性攻击而闻名,其中包括2014年对索尼电影公司的攻击,该攻击中大量信息被盗、计算机数据被恶意软件清除。
近年来,Lazarus也参与了有经济动机的攻击。该组织与2016年孟加拉国中央银行的8100万美元盗窃案以及其他一些银行抢劫案有关。
Lazarus还与2017年5月的WannaCry勒索软件爆发有关。WannaCry合并了NSA泄漏的“EternalBlue”利用,使用Windows中的两个已知漏洞(CVE-2017-0144和CVE-2017-0145)将勒索软件变成蠕虫,扩散到受害者网络上没有打补丁的计算机以及连接到互联网的其他易受攻击的计算机上。在发布后的几个小时内,WannaCry就感染了全球数十万台计算机。
三、对金融部门的持续攻击
最近的FASTCash攻击浪潮表明,出于经济动机的攻击不仅仅是Lazarus组织的过往兴趣,现在可以被视为其核心活动之一。
与2016年系列虚拟银行抢劫案(包括孟加拉国银行抢劫案)一样,FASTCash表明,Lazarus拥有对银行系统和交易处理协议的深入了解,并具备利用这些知识从窃取银行窃取大量资金的专业知识。
简而言之,Lazarus继续对金融部门构成严重威胁,金融机构应采取一切必要措施,确保其支付系统完全及时更新。
四、缓解措施
金融机构应确保操作系统和所有其他软件是最新的。软件更新通常会包含可能被攻击者利用的新发现的安全漏洞的补丁。在迄今为止报告的所有FASTCash攻击中,攻击者已经控制了运行不受支持的AIX操作系统版本的银行应用程序服务器,超出了其Service Pack支持日期的最后期限。
IoC
D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector)
CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)
10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL)
3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)