賽門鐵克發現朝鮮APT組織Lazarus攻擊金融機(jī)構的關鍵性工自姐(gōng)具
10月2日,美(měi)國國土安全部(DHS)下屬的US-CERT發工還表了一則針對朝鮮APT組織Lazarus(Hidden 著子Cobra)的技術性預警公告,公告指出,在DHS、DoT(财拿可政部)和FBI的共同努力下,發現了Lazarus用于在弟南全球實施ATM網絡犯罪的惡意軟件樣本和多個威脅指标(IOCs),事雜DHS把Lazarus組織的該系列惡意網絡犯罪命名為廠慢“FASTCash”攻擊。10月8日,安全公司賽門鐵克(Syma北不ntc)發表報告聲稱,已經發現了Lazarus組織用于“FASTCash”攻技通擊的關鍵性工(gōng)具。
自2014年以來(lái),Lazarus在全球多個國家藍吃實施了多起網絡犯罪,入侵索尼公司、攻擊韓國金融鐵輛媒體(tǐ)機(jī)構、竊取孟加拉央行8100萬美(měi)元、錯商攻擊美(měi)國國防承包商和比特币交易所、發起Wann水藍aCry勒索攻擊。DHS透露,根據美(měi)國政府的可信合作(懂舞zuò)夥伴評估,Lazarus僅針對金融機(jī那好)構的“FASTCash”攻擊竊取金額就達數千萬美(měi)元。
賽門鐵克的發現
賽門鐵克研究人員透露,Lazarus組織在開展FASTCash攻擊時,首先會找嗎西點入侵目标銀行的網絡,接着滲透進入負責ATM交易的交換應用服務器,最終在這些服北讀務器上部署一些此前我們(men)從未識别的惡意軟件 - (知歌Trojan.Fastcash) 。之後,Lazarus攻擊高雨人員會發起欺詐性的現金提取請求,其部署的惡意軟件則負責請求得舊攔截監聽(tīng),并會向負責ATM交易的交換應用服務裡樹器返回假冒的請求響應,以此實現對ATM系統的現金竊取放現。
根據US-CERT的預警公告反應,Lazarus吃還于2017年發起了一起攻擊事件,其分别從全球30多個不(bù)同國家的算家ATM機(jī)系統中(zhōng)同時提取轉移了大量計你現金。同樣的攻擊也在2018年發生過,這一次,河河Lazarus從23個不(bù)同國家的ATM機(jī)系統中低生(zhōng)竊取了大量現金。
Lazarus開展FASTCash攻擊的具體(朋在tǐ)流程
為了實現從ATM機(jī)系統中(zhōng都開)欺詐性的轉移現金,Lazarus攻擊者具體(t銀還ǐ)的做法是,在負責ATM交易的交換應用服務器中飛花(zhōng),向某個運行的合法進程注入一個高請音級交互執行程序(Advanced Interacti商睡ve eXecutive, AIX),這個惡意的A舞下IX程序包含了構造假冒ISO 8583消息報文的邏輯(ISO風機8583金融交易報文是銀行業和金融服務業常用站看的數據消息格式,常用于終端交易設備中(zhōng))。和說Lazarus這種假冒ISO 8583消息報文的技術此前未曾被發現過,著就通常的認為是Lazarus通過使用腳本來(l低喝ái)控制服務器實現轉賬交易欺騙。
ISO8583金融交易報文:是銀行業和金融服務業常用的 師他ISO 标準,該标準指定了一個消息格式,設備和發卡行之間(j劇輛iān)可以使用該消息格式來(lái)交換信用卡數據和借記綠筆卡數據,該标準通常為銷售點設備和自動(dòng)取款海空機(jī)所采用。消息本身通常包含有關交易金額、交易發起信林位置、卡的帳号以及銀行分類代碼的信息。接收黃筆數據的應用程序可以有多種用途,例如在多個銀行帳戶之間(jiān)轉移資金、支土答付賬單或手機(jī)充值。
賽門鐵克及時發現了這種注入到ATM交易應用服務器中(zhōng)的惡意坐電軟件,并把它命名為Trojan.Fastcash,實質器農上它屬于木馬類惡意程序,且包含了兩個主要功能:
1、監視傳入服務器的消息,并在請求到達交易子路服務器之前,攔截攻擊者生成的欺詐性交易請求
2、為了形成欺詐性交易請求,其中(zhōng)包含了生成一個假冒響應場草的程序邏輯
賽門鐵克對FASTCash攻擊的發現樣本
一旦Trojan.Fastcash被成功部署在負責ATM交易的北書應用服務器中(zhōng),其将會讀取所有傳醫購入服務器的網絡流量,并掃描流量中(zhōng)包含的 ISO 8583報文還數請求,而且它還會探測流量消息中(zhōng)鄉報,攻擊者用來(lái)執行交易的銀行主賬戶号(Primary Account行不 Number,PAN),如果有銀行主賬戶号出現,Troj黃熱an.Fastcash就會嘗試修改涉及該賬戶号的消息。
Lazarus會根據不(bù)同的金融機(jī)構目匠我标,實行不(bù)同的賬戶号消息修改方法,如做個果消息修改成功,Trojan.Fastcash會針對向ATM應用服務器發起鐵小的欺詐請求,返回一條假冒的現金轉賬批準響應,最終會習,Lazarus的轉賬申請就會被ATM應用服務器放行,從而成功員白實施了現金轉賬。
經分析,以下是Trojan.Fastcash用來(lái)生成假冒批準響應的船光一個程序邏輯。這個特殊樣本會根據攻擊者傳入的欺詐請求,構造以下不(bù)同做一三個假冒響應之一。
當ISO8583報文消息的類型标識 ==跳我 200,也就是ATM發生交易行為,和POS機(jī)型磁條卡的服務點也都輸入方式碼從90開始時,Trojan.Fastcash有以下程錯作序邏輯:
If Processing Code starts w技這ith 3 (Balance Inquiry):
Response Code = 00 (Appr術時oved)
Otherwise, if the Primary Acc件美ount Number is Blacklisted by At錯可tackers(否則,如果攻擊者将主帳号列入黑名單):
Response Code = 55 (I哥子nvalid PIN)
All other Processing Codes (with non-b門樂lacklisted PANs):
Response Code = 00小兒 (Approved)
在這種情況下,攻擊者似乎内置了根據他們(men)自己設置的黑名單賬戶号有選擇性喝頻地(dì)進行轉賬交易,但是,該功能在這樣本中(zhōng)并沒他機有成功實現,其黑名單檢查機(jī)制總是返回“False”。
賽門鐵克發現了和Trojan.Fastcash相人窗關的幾種不(bù)同特洛伊木馬變種,且每月樂種都使用了不(bù)同的響應邏輯,賽門鐵克認為這些變種都近門是針對不(bù)同金融機(jī)構的特定交易處理網絡而定制離熱的,因此其具備的響應邏輯有所不(bù)同。
另外,被Lazarus組織用于FASTCash攻擊的銀行主賬戶号但笑(PAN)都是真實存在的,根據US-CER麗身T的預警公告,這些被攻擊者用來(lái)發子公起交易的賬戶号不(bù)太活躍或是零餘額狀态,而攻擊者控制這明業些賬戶号的方法也暫不(bù)清楚,可能是了師攻擊者的自行開卡,也可能是其它攻擊活動(dòng)中(zhō紙知ng)竊取的賬戶。
截至目前,在所有對FASTCash攻擊的報告中(zhōng),都提到了由于銀西少行應用服務器的AIX操作(zuò)系統更新(xīn)不(b資好ù)及時,存在漏洞,導緻被攻擊者入侵的說法。
Lazarus對金融機(jī)構的持續威脅
最近的FASTCash攻擊表明,對金融機(jī)構的攻擊不(低章bù)是Lazarus的一時興起,很有可能是其長期的主要活動(dò筆歌ng)。如同2016年的對孟加拉國央行的現金轉移案一樣,F銀員ASTCash攻擊反映了Lazarus對銀行系統和交易處理協身著議有着深入的研究理解,并且能發現存在漏洞的銀行網絡,并成功從中(zhōng)可間竊取轉移現金,作(zuò)案手法相當專業。
總之,Lazarus會持續對金融部門造成嚴重威脅,相關單位和部門應采取必要去但措施,确保其支付系統及時更新(xīn)并處坐中于安全狀态。
防護建議
1、及時更新(xīn)操作(zuò)系統和相關應用軟件;事你
2、關注并更新(xīn)近期容易被攻擊者利用我錢的應用軟件漏洞;
3、及時更新(xīn)應用服務中(zhōng)涉及的開器AIX操作(zuò)系統。
IoC
D465637518024262C063F4A82D799A4E40兒嗎FF3381014972F24EA18BC23C3B2裡你7EE (Trojan.Fastcash Inje廠件ctor)
CA9AB48D293CC84092E8DB8F0樹輛CA99CB155B30C61D32A1DA7CD3687DE454FE86離空C (Trojan.Fastcash DLL)
10AC312C8DD02E417DD24D53C99525C29D74D車木CBC84730351AD7A4E0A4B1A0EBA (Troja老外n.Fastcash DLL)
3A5BA44F140821849DE2D82D5A她弟137C3BB5A736130DDDB86B296D94E6B42少章1594C (Trojan.Fastcash DLL)