FASTCash 리눅스 맬웨어

북한의 위협 행위자들이 금융 기관의 지불 스위치 시스템을 손상시키고 불법적인 현금 인출을 용이하게 하는 FASTCash 맬웨어의 이전에 알려지지 않은 Linux 변종을 개발했습니다.

FASTCash의 이전 버전은 Windows 및 IBM AIX(Unix) 시스템을 대상으로 하는 것으로 알려졌습니다. 그러나 보안 연구원 HaxRob의 최근 보고서에 따르면, 새롭게 발견된 Linux 변종이 이제 Ubuntu 22.04 LTS 배포판을 대상으로 하며, 이 버전의 첫 번째 감지를 나타냅니다.

FASTCash 맬웨어는 수년간 ATM을 표적으로 삼아 왔습니다.

2018년 12월, CISA(사이버보안 및 인프라 보안 기관)는 FASTCash ATM 현금 인출 사기에 대한 첫 경고를 발표하면서, 이 활동을 '히든 코브라'라는 북한 국가 지원 해킹 그룹의 소행이라고 비난했습니다. 기관의 조사에 따르면, 공격자들은 적어도 2016년부터 FASTCash를 사용해 30개국 이상에서 동시에 ATM 인출 공격을 조직하고, 한 건당 수천만 달러를 훔쳤습니다.

2020년 미국 사이버 사령부는 FASTCash 2.0 활동을 APT38(Lazarus)과 연결해 다시 경고했습니다. 2021년에는 전 세계 금융 기관에서 13억 달러 이상을 훔친 혐의를 받는 북한 개인 3명에 대한 기소가 발표되었습니다.

연구자들이 발견한 새로운 변종

2023년 6월에 발견된 FASTCash의 최신 변종은 Windows 및 AIX 시스템을 타겟으로 하는 이전 변종과 많은 운영적 특성을 공유합니다. 이 버전은 'ptrace' 시스템 호출을 사용하여 네트워크 기능에 후크하는 지불 스위치 서버에서 실행 중인 프로세스에 주입되는 공유 라이브러리로 나타납니다.

결제 스위치는 중개자 역할을 하며, 거래 요청과 응답을 라우팅하여 ATM 또는 PoS 단말기와 은행의 중앙 시스템 간의 통신을 용이하게 합니다. 이 맬웨어는 금융 산업에서 직불 및 신용 카드 처리에 필수적인 ISO8583 거래 메시지를 가로채고 조작하여 이러한 스위치를 악용합니다.

이 맬웨어는 카드 소유자 계좌에 자금이 부족하여 거래를 거부하는 메시지를 특별히 표적으로 삼습니다. 이러한 메시지를 수정하여 '거부' 응답을 '승인' 응답으로 바꿉니다.

또한, 변경된 메시지는 12,000에서 30,000 터키 리라(350달러~875달러) 사이의 무작위 출금 금액을 승인합니다. 조작된 메시지가 승인 코드(DE38, DE39)와 승인 금액(DE54)을 포함하여 은행의 중앙 시스템으로 다시 전송되면 은행은 거래를 승인합니다. 그런 다음 공격자를 대신하여 일하는 돈 운반자가 ATM에서 현금을 인출합니다.

발견 이후, 이 Linux 변종은 대부분의 표준 보안 도구를 우회하여 공격자가 감지되지 않고 사기 거래를 수행할 수 있는 것으로 여겨집니다. 사이버 보안 전문가들은 또한 해커가 지속적으로 툴셋을 개선하고 있다는 징후를 발견했으며, 2024년 9월에 FASTCash의 새로운 Windows 버전이 등장한다는 증거가 있습니다.