FASTCash Linux 恶意软件

朝鲜威胁行为者开发了一种此前未知的 FASTCash 恶意软件 Linux 变种，他们正在部署该变种来破坏金融机构的支付转换系统，以促进非法现金提取。

据悉，早期版本的 FASTCash 针对的是 Windows 和 IBM AIX (Unix) 系统。然而，根据安全研究员 HaxRob 最近的报告，最近发现的一个 Linux 变种现在针对的是 Ubuntu 22.04 LTS 发行版，这是首次发现该版本。

FASTCash 恶意软件多年来一直针对 ATM

2018 年 12 月，网络安全和基础设施安全局 (CISA) 首次就 FASTCash ATM 取款计划发出警告，称该活动是朝鲜政府支持的黑客组织“Hidden Cobra”所为。该机构的调查显示，攻击者至少从 2016 年开始使用 FASTCash，在 30 多个国家同时策划 ATM 取款攻击，每次行动窃取数千万美元。

2020 年，美国网络司令部再次发出警报，将 FASTCash 2.0 活动重新与 APT38（Lazarus）联系起来。到 2021 年，三名朝鲜人被起诉，他们被指控从全球金融机构窃取了超过 13 亿美元。

研究人员发现一种新变体

2023 年 6 月发现的 FASTCash 最新变种与针对 Windows 和 AIX 系统的前代变种有许多共同的操作特性。此版本以共享库的形式出现，该库被注入到支付交换服务器上正在运行的进程中，使用“ptrace”系统调用挂接到网络函数。

支付交换机充当中介，通过路由交易请求和响应来促进 ATM 或 PoS 终端与银行中央系统之间的通信。恶意软件通过拦截和操纵 ISO8583 交易消息来利用这些交换机，这对于金融行业的借记卡和信用卡处理至关重要。

该恶意软件专门针对那些由于持卡人账户资金不足而通常会拒绝交易的消息。它会修改这些消息，将“拒绝”响应替换为“批准”响应。

此外，修改后的消息授权提取 12,000 至 30,000 土耳其里拉（350 至 875 美元）之间的随机金额。一旦将修改后的消息（包括批准代码（DE38、DE39）和授权金额（DE54））发送回银行的中央系统，银行就会批准交易。然后，代表攻击者工作的钱骡会从 ATM 提取现金。

自发现以来，人们认为该 Linux 变体可以绕过大多数标准安全工具，使攻击者可以在不被发现的情况下进行欺诈交易。网络安全专家还发现有迹象表明黑客正在不断完善其工具集，有证据表明 2024 年 9 月出现了新的 Windows 版 FASTCash。