Lazarus組織是一個活躍在網(wǎng)絡犯罪和間諜活動中的犯罪攻擊組織。該組織由于實施間諜活動和嚴重破壞性攻擊被公眾知曉,例如2014年對索尼影業(yè)發(fā)起的攻擊。近年來,Lazarus 還參與多個以牟利為動機的網(wǎng)絡攻擊,包括2016年從孟加拉國中央銀行盜走8,100萬美元的驚天劫案以及WannaCry勒索軟件攻擊事件。WannaCry 利用“永恒之藍”漏洞(Windows CVE-2017-0144 和0CVE-2017-0145 )將勒索軟件變?yōu)槿湎x病毒,擴散傳播到網(wǎng)絡上未打補丁的電腦以及其他連接到該網(wǎng)絡電腦中。在在擴散后的短短幾小時內,全球高達數(shù)萬臺電腦被感染。
近期,賽門鐵克發(fā)布調研,揭露該組織發(fā)起金融攻擊所用的主要工具。在針對ATM設備的“FASTCash”攻擊中,Lazarus首先侵入目標銀行的網(wǎng)絡和處理ATM交易的切換應用服務器,在服務器被入侵后,攻擊者立即植入惡意軟件(Trojan.Fastcash )。隨后,該惡意軟件攔截Lazarus的取款請求,并發(fā)送偽造的批準響應,使攻擊者盜走 ATM 中的現(xiàn)金。
根據(jù)美國政府的警告,在2017年的一次攻擊中,30 多個國家/地區(qū)的ATM設備同時被攻擊。2018年,在Lazarus發(fā)起的另一次重大攻擊事件中, 23個國家/地區(qū)的ATM設備被攻擊。據(jù)估計,到目前為止,Lazarus組織發(fā)起的FASTCash攻擊所造成的被盜金額已經(jīng)高達數(shù)千萬美元。
FASTCash攻擊的詳細運作手段
為了讓ATM設備批準取款請求,攻擊者將惡意高級交互執(zhí)行程序(AIX)可執(zhí)行文件植入運行合法進程的金融交易ATM網(wǎng)絡切換應用服務器中,該惡意可執(zhí)行文件包括構建ISO 8583虛假消息的邏輯 -- ISO 8583是發(fā)送金融交易消息的標準。此前,調研人員認為,攻擊者利用惡意腳本操控服務器上合法軟件,以實施攻擊。
根據(jù)賽門鐵克的分析,該執(zhí)行文件為惡意軟件,被稱為Trojan.Fastcash。Trojan.Fastcash有兩個主要功能:
- 監(jiān)控收到的消息,并攔截攻擊者生成的虛假交易請求,以阻止它們到達處理交易的切換應用;
- 包含對虛假交易請求生成虛假響應的邏輯。
當Trojan.Fastcash被安裝到服務器上后,該惡意軟件將立即讀取所有入站網(wǎng)絡流量,掃描收到的 ISO 8583 請求消息。然后,該惡意軟件將獲取所有消息上的賬號 (PAN),如發(fā)現(xiàn)任何包含攻擊者所使用的 PAN 賬號中的消息類型指示(MTI)為“0x100 Authorization Request from Acquirer”,它將阻止消息進一步傳輸,并發(fā)送一條虛假的響應消息,讓服務器批準取款請求,致使Lazarus 攻擊者獲得對ATM取款的請求。
Trojan.Fastcash用來生成虛假響應所使用的邏輯示例:包含收到攻擊者請求生成虛假響應 (共三個響應的其中之一)。
If (Processing Code == 010000):
Response code = 51
If (Processing Code == 300000):
Response code = 00
Amount = Randomly computed number
All other Processing Codes:
Response code = 51
賽門鐵克的調研人員發(fā)現(xiàn), Trojan.Fastcash擁有幾個不同的變體,且每一個變體都使用不同的響應邏輯。至于為何使用不同的響應邏輯,具體原因目前尚不清楚。賽門鐵克猜測,背后原因可能是每一個變體可對應一家銀行。
到目前為止,在所有FASTCash攻擊中,攻擊者都是在操作系統(tǒng)服務包支持日期到期之后,破壞運行不受支持的AIX操作系統(tǒng)版本的銀行應用服務器。
賽門鐵克調查總結
近年發(fā)生的一系列FASTCash攻擊事件表明,Lazarus攻擊組織所發(fā)起的以牟利為由的攻擊并非是短期作案,而是其核心活動之一。 從2016年發(fā)生的一系列虛擬銀行攻擊事件來看,Lazarus組織。在FASTCash攻擊中非常熟悉銀行系統(tǒng)和交易處理協(xié)議,能夠輕易地運用這些知識從易受攻擊的銀行中盜取巨額現(xiàn)金。 可以說,Lazarus組織仍舊是銀行安全所面臨的重大威脅。
賽門鐵克防護
賽門鐵克提供以下防護解決方案,保護客戶免遭 Lazarus FASTCash的威脅:
Trojan.Fastcash
感染指標
- D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector)
- CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)
- 10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL)
- 3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)
關于賽門鐵克
賽門鐵克公司(納斯達克:SYMC)是全球領先的網(wǎng)絡安全企業(yè),旨在幫助企業(yè)、個人和政府機構保護無處不在的重要數(shù)據(jù)安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案,以抵御端點、云和基礎設施上的復雜攻擊。同時,全球超過5,000萬個人和家庭依靠賽門鐵克Norton和LifeLock產(chǎn)品套件保護家庭數(shù)字生活和個人設備。賽門鐵克運行著全球最大的民用互聯(lián)網(wǎng)情報網(wǎng)絡之一,能夠及時發(fā)現(xiàn)并抵御最高級的威脅。賽門鐵克運營著全球規(guī)模領先的威脅情報網(wǎng)絡,能夠及時發(fā)現(xiàn)和抵御最高級威脅。
