FASTCash Linux 惡意軟體

北韓威脅行為者開發了一種以前未知的 FASTCash 惡意軟體 Linux 變體，他們部署該變體是為了破壞金融機構的支付轉換系統，從而促進非法現金提取。

已知 FASTCash 的早期版本以 Windows 和 IBM AIX (Unix) 系統為目標。然而，根據安全研究人員 HaxRob 最近的報告，一個新發現的 Linux 變種現在正在針對 Ubuntu 22.04 LTS 發行版，這標誌著該版本的首次檢測。

FASTCash 惡意軟體多年來一直以 ATM 為目標

2018 年 12 月，CISA（網路安全與基礎設施安全局）首次發出有關 FASTCash ATM 提現計畫的警告，將該活動歸因於北韓國家支持的名為「Hidden Cobra」的駭客組織。該機構的調查顯示，攻擊者至少從 2016 年起就一直在使用 FASTCash，在 30 多個國家同時策劃 ATM 提款攻擊，每次行動竊取了數千萬美元。

2020年，美國網路司令部再次發出警報，將新的FASTCash 2.0活動與APT38（Lazarus）連結起來。到 2021 年，三名北韓個人被宣布起訴，他們被指控從全球金融機構竊取超過 13 億美元。

研究人員發現的新變種

FASTCash 的最新變體於 2023 年 6 月發現，與其針對 Windows 和 AIX 系統的前身俱有許多相同的操作特徵。此版本顯示為共享庫，它被注入到支付交換伺服器上正在運行的進程中，使用「ptrace」系統呼叫來掛鉤網路功能。

支付交換機充當中介，透過路由交易請求和回應來促進 ATM 或 PoS 終端與銀行中央系統之間的通訊。該惡意軟體透過攔截和操縱 ISO8583 交易訊息來利用這些開關，這對於金融業的借記卡和信用卡處理至關重要。

該惡意軟體專門針對通常會因持卡人帳戶資金不足而拒絕交易的訊息。它修改這些訊息，用「批准」回應取代「拒絕」回應。

此外，更改後的訊息授權隨機提款金額在 12,000 至 30,000 土耳其里拉（350 美元至 875 美元）之間。一旦操縱的訊息被發送回銀行的中央系統，包括批准代碼（DE38、DE39）和授權金額（DE54），銀行就會批准交易。然後，代表攻擊者工作的錢騾從 ATM 提取現金。

自發現以來，這種 Linux 變體被認為可以繞過大多數標準安全工具，使攻擊者能夠在不被發現的情況下進行詐欺交易。網路安全專家還發現有跡象表明駭客正在不斷完善他們的工具集，有證據表明新的 Windows 版本的 FASTCash 將於 2024 年 9 月出現。