最新的 FASTCash 惡意軟體攻擊事件係針對 Linux 作業系統平台
北韓駭客近期透過一個新的 Linux 版本的 FASTCash 惡意軟體,針對金融機構的支付系統進行攻擊,未經授權地從 ATM 提款。這種攻擊手法是透過入侵支付交換系統,操縱交易訊息,使本應被拒絕的交易成功通過,從而實現非法提款。
FASTCash 惡意軟體自 2016 年起發現被用來攻擊 ATM 提款系統,駭客透過操控交易請求,竊取全球多國金融機構的資金。過去,這種惡意軟體主要針對 Windows 和 IBM AIX 作業系統,然而最新的攻擊事件則是鎖定 Linux 平台,特別是 Ubuntu 22.04 LTS 系統。
Linux 的 Ubuntu 22.04 (Focal Fossa) 作業系統,是採用 C++ 程式語言所開發,資料加密方式為 AES-128 CBC 加密。組態設定檔案 (configuration file) 受到硬式編碼金鑰 (hardcoded key) 的保護,以增加攻擊上的難度。
駭客攻擊的重點是金融機構的支付交換系統,這些系統負責處理 ATM 和銀行之間的交易請求。Linux 版本的FASTCash偽裝成名為「libMyFc.so」的共享物件檔案,專門針對 ISO 8583 訊息進行攻擊,ISO 8583 是支付網路中通信用的標準格式。針對特定的持卡人帳戶清單,這個惡意軟體會攔截那些由於持卡人帳戶餘額不足而被拒絕的交易訊息,將「拒絕」訊息改為「批准」訊息,以達成非法提款的目的。
這些攻擊通常依賴於高度精細的技術手段,駭客首先將惡意軟體注入支付交換伺服器中,然後攔截並操縱金融交易訊息。透過竄改訊息中的交易金額和批准代碼,攻擊者成功地欺騙銀行系統核准這些本應被拒絕的交易。
由這次攻擊中發現的新型 Linux 版本惡意軟體所示,北韓駭客正試圖擴展他們的攻擊目標至不同的作業系統平台。這不僅增加了其攻擊的靈活性,也讓網路安全專家面臨更嚴峻的挑戰,因為不同平台的安全漏洞和防護機制存在顯著的差異。
這類的攻擊事件並非針對單一地區,而是對全球多個國家的金融系統造成威脅。根據過去的經驗,FASTCash 攻擊每次都能造成數千萬美元的損失,而此次攻擊可能會影響更多國家的金融機構,尤其是那些使用 Linux 系統的機構。
國際安全機構也對這類攻擊表達了高度關注,並警告金融單位要加強對支付交換系統的安全防護。美國網路司令部(US Cyber Command)已多次發布警告,指出這些攻擊活動與北韓國家支持的駭客組織 Lazarus (又名 Hidden Cobra) 集團有關。
Linux 系統通常被認為是安全性較高的作業系統,但這次的攻擊事件顯示出,即便是 Linux 系統也無法完全地避免網路攻擊。FASTCash 的攻擊手法利用了 Linux 中的 ptrace 系統呼叫功能,將惡意軟體以共享函式庫的形式注入到支付交換伺服器的執行程序中,藉以攔截並操縱金融交易訊息。
隨著駭客工具的不斷演進,FASTCash 不僅持續更新,還不斷推出適用於不同作業系統的新版本。資安研究員 HaxRob 的報告指出,除了 Linux 版本外,駭客還在積極開發新的 Windows 版本,這顯示出駭客集團對於攻擊技術的持續投入和精進。
為了防範類似攻擊,金融機構需要加強對 ATM 和支付系統的監控,並採用更嚴格的驗證機制來確保交易安全。此外,應限制對關鍵伺服器的存取權限,並定期進行安全審核和系統更新,以降低遭受攻擊的風險。
北韓駭客透過新型 Linux 版本的 FASTCash 惡意軟體再次展示了他們在網路犯罪領域的高度威脅性。隨著他們的攻擊面向不斷地擴張,全球的金融機構和資安專家必須更加警覺,採取積極措施來防範這類高階技術性的攻擊。這次攻擊再次凸顯了網路安全的重要性,並喚起各國政府和企業機構共同應對日益嚴峻的網路安全威脅。
FASTCash 惡意軟體相關的部分的入侵指標(IOCs):
| 03e6496b8a0187d0265b64612ec85291 |
| 14d72896e174c0601d5d9ee4a5976ea5 |
| 46b318bbb72ee68c9d9183d78e79fb5a |
| 4ce9d999e0656fafab9d53e4a6b306a3 |
| 518acee0cc61041709e9ebb38169bea0 |
| 7bae539b25bed652540a4792d32c7909 |
| a97920557623296123d961f72e164513 |
| ac057094659b056c68360eb6665e4ace |
| c4141ee8e9594511f528862519480d36 |
| d1bb81f507a697548e1acbce814904de |