眼镜蛇APT针对全球银行进行攻击

  • A+
所属分类:网络安全新闻

来自国土安全部,联邦调查局和财政部的联合技术警报,警告称隐藏眼镜蛇APT使用的新ATM取款方案被称为FASTCash。

眼镜蛇APT针对全球银行进行攻击

US-CERT发布了美国国土安全部,联邦调查局和财政部关于新的ATM现金计划的联合技术警报,该计划被称为 FASTCash ,被多产的朝鲜APT黑客组织 Hidden Cobra使用 (又名拉撒路集团和和平卫士)。

Lazarus集团的活动在2014年和2015年激增,其成员主要使用定制的恶意软件进行攻击,而对船员进行调查的专家认为它非常复杂。

这个威胁行动者至少从2009年开始活跃,可能早在2007年,它参与了网络间谍活动和旨在破坏数据和破坏系统的破坏活动。

该组织被认为应对大规模的 WannaCry勒索软件 攻击,2016年的一系列 SWIFT攻击以及 Sony Pictures黑客攻击负责。

根据US-CERT发布的报告,Hidden Cobra自2016年以来一直使用FASTCash技术,APT集团的目标是银行基础设施兑现ATM。

政府专家分析了10起涉及FASTCash攻击的恶意软件样本,由国家赞助的黑客利用它们来破坏目标银行内的支付交换机应用服务器,以促进欺诈性交易。

FASTCash 方案远程破坏了银行内的支付交换机应用服务器,以促进欺诈性交易。美国政府评估说,HIDDEN COBRA演员将继续使用FASTCash策略来针对易受远程开发影响的零售支付系统。报告指出。

据一位值得信赖的合作伙伴估计,HIDDEN COBRA演员已经盗走了数千万美元。在2017年的一次事件中,HIDDEN COBRA参与者使现金可以同时从位于30多个不同国家的ATM中提取。在2018年的另一起事件中,HIDDEN COBRA参与者在23个不同的国家同时从ATM取款。

交换机应用服务器与核心银行系统通信,以验证用户所请求交易的银行账户详细信息。

HIDDEN COBRA攻击者在受感染的交换机应用服务器上部署了合法脚本,以截取并回复具有欺诈性但看似合法的肯定响应消息的财务请求消息。

专家注意到,所有受到攻击的交换机应用程序服务器都运行不受支持的IBM Advanced Interactive eXecutive(AIX)操作系统版本。

当时,感染载体仍然是未知的,无论如何,没有证据表明攻击者在这些事件中成功利用了AIX操作系统。

HIDDEN COBRA演员利用他们对国际标准组织(ISO)8583(金融交易信息传递和其他策略的标准)的知识来利用目标系统。报告继续说道。

HIDDEN COBRA演员最有可能在目标交换机应用服务器上部署ISO 8583库。恶意威胁行为者使用这些库帮助解释财务请求消息并正确构建欺诈性财务响应消息。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!