Lazarus組織是一個(gè)活躍在網(wǎng)絡(luò)犯罪和間諜活動(dòng)中的犯罪攻擊組織。該組織由于實(shí)施間諜活動(dòng)和嚴(yán)重破壞性攻擊被公眾知曉,例如2014年對索尼影業(yè)發(fā)起的攻擊。近年來,Lazarus 還參與多個(gè)以牟利為動(dòng)機(jī)的網(wǎng)絡(luò)攻擊,包括2016年從孟加拉國中央銀行盜走8,100萬美元的驚天劫案以及WannaCry勒索軟件攻擊事件。WannaCry 利用“永恒之藍(lán)”漏洞(Windows CVE-2017-0144 和0CVE-2017-0145 )將勒索軟件變?yōu)槿湎x病毒,擴(kuò)散傳播到網(wǎng)絡(luò)上未打補(bǔ)丁的電腦以及其他連接到該網(wǎng)絡(luò)電腦中。在在擴(kuò)散后的短短幾小時(shí)內(nèi),全球高達(dá)數(shù)萬臺(tái)電腦被感染。
近期,賽門鐵克發(fā)布調(diào)研,揭露該組織發(fā)起金融攻擊所用的主要工具。在針對ATM設(shè)備的“FASTCash”攻擊中,Lazarus首先侵入目標(biāo)銀行的網(wǎng)絡(luò)和處理ATM交易的切換應(yīng)用服務(wù)器,在服務(wù)器被入侵后,攻擊者立即植入惡意軟件(Trojan.Fastcash )。隨后,該惡意軟件攔截Lazarus的取款請求,并發(fā)送偽造的批準(zhǔn)響應(yīng),使攻擊者盜走 ATM 中的現(xiàn)金。
根據(jù)美國政府的警告,在2017年的一次攻擊中,30 多個(gè)國家/地區(qū)的ATM設(shè)備同時(shí)被攻擊。2018年,在Lazarus發(fā)起的另一次重大攻擊事件中, 23個(gè)國家/地區(qū)的ATM設(shè)備被攻擊。據(jù)估計(jì),到目前為止,Lazarus組織發(fā)起的FASTCash攻擊所造成的被盜金額已經(jīng)高達(dá)數(shù)千萬美元。
FASTCash攻擊的詳細(xì)運(yùn)作手段
為了讓ATM設(shè)備批準(zhǔn)取款請求,攻擊者將惡意高級交互執(zhí)行程序(AIX)可執(zhí)行文件植入運(yùn)行合法進(jìn)程的金融交易ATM網(wǎng)絡(luò)切換應(yīng)用服務(wù)器中,該惡意可執(zhí)行文件包括構(gòu)建ISO 8583虛假消息的邏輯 -- ISO 8583是發(fā)送金融交易消息的標(biāo)準(zhǔn)。此前,調(diào)研人員認(rèn)為,攻擊者利用惡意腳本操控服務(wù)器上合法軟件,以實(shí)施攻擊。
根據(jù)賽門鐵克的分析,該執(zhí)行文件為惡意軟件,被稱為Trojan.Fastcash。Trojan.Fastcash有兩個(gè)主要功能:
- 監(jiān)控收到的消息,并攔截攻擊者生成的虛假交易請求,以阻止它們到達(dá)處理交易的切換應(yīng)用;
- 包含對虛假交易請求生成虛假響應(yīng)的邏輯。
當(dāng)Trojan.Fastcash被安裝到服務(wù)器上后,該惡意軟件將立即讀取所有入站網(wǎng)絡(luò)流量,掃描收到的 ISO 8583 請求消息。然后,該惡意軟件將獲取所有消息上的賬號(hào) (PAN),如發(fā)現(xiàn)任何包含攻擊者所使用的 PAN 賬號(hào)中的消息類型指示(MTI)為“0x100 Authorization Request from Acquirer”,它將阻止消息進(jìn)一步傳輸,并發(fā)送一條虛假的響應(yīng)消息,讓服務(wù)器批準(zhǔn)取款請求,致使Lazarus 攻擊者獲得對ATM取款的請求。
Trojan.Fastcash用來生成虛假響應(yīng)所使用的邏輯示例:包含收到攻擊者請求生成虛假響應(yīng) (共三個(gè)響應(yīng)的其中之一)。
If (Processing Code == 010000):
Response code = 51
If (Processing Code == 300000):
Response code = 00
Amount = Randomly computed number
All other Processing Codes:
Response code = 51
賽門鐵克的調(diào)研人員發(fā)現(xiàn), Trojan.Fastcash擁有幾個(gè)不同的變體,且每一個(gè)變體都使用不同的響應(yīng)邏輯。至于為何使用不同的響應(yīng)邏輯,具體原因目前尚不清楚。賽門鐵克猜測,背后原因可能是每一個(gè)變體可對應(yīng)一家銀行。
到目前為止,在所有FASTCash攻擊中,攻擊者都是在操作系統(tǒng)服務(wù)包支持日期到期之后,破壞運(yùn)行不受支持的AIX操作系統(tǒng)版本的銀行應(yīng)用服務(wù)器。
賽門鐵克調(diào)查總結(jié)
近年發(fā)生的一系列FASTCash攻擊事件表明,Lazarus攻擊組織所發(fā)起的以牟利為由的攻擊并非是短期作案,而是其核心活動(dòng)之一。 從2016年發(fā)生的一系列虛擬銀行攻擊事件來看,Lazarus組織。在FASTCash攻擊中非常熟悉銀行系統(tǒng)和交易處理協(xié)議,能夠輕易地運(yùn)用這些知識(shí)從易受攻擊的銀行中盜取巨額現(xiàn)金。 可以說,Lazarus組織仍舊是銀行安全所面臨的重大威脅。
賽門鐵克防護(hù)
賽門鐵克提供以下防護(hù)解決方案,保護(hù)客戶免遭 Lazarus FASTCash的威脅:
Trojan.Fastcash
感染指標(biāo)
- D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector)
- CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)
- 10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL)
- 3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)
關(guān)于賽門鐵克
賽門鐵克公司(納斯達(dá)克:SYMC)是全球領(lǐng)先的網(wǎng)絡(luò)安全企業(yè),旨在幫助企業(yè)、個(gè)人和政府機(jī)構(gòu)保護(hù)無處不在的重要數(shù)據(jù)安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案,以抵御端點(diǎn)、云和基礎(chǔ)設(shè)施上的復(fù)雜攻擊。同時(shí),全球超過5,000萬個(gè)人和家庭依靠賽門鐵克Norton和LifeLock產(chǎn)品套件保護(hù)家庭數(shù)字生活和個(gè)人設(shè)備。賽門鐵克運(yùn)行著全球最大的民用互聯(lián)網(wǎng)情報(bào)網(wǎng)絡(luò)之一,能夠及時(shí)發(fā)現(xiàn)并抵御最高級的威脅。賽門鐵克運(yùn)營著全球規(guī)模領(lǐng)先的威脅情報(bào)網(wǎng)絡(luò),能夠及時(shí)發(fā)現(xiàn)和抵御最高級威脅。