APT组织Lazarus最新行动:FASTCash,针对零售支付系统

释放双眼,带上耳机,听听看~!

组织名:Lazarus

行动名:FASTCash

时间:2016年底至今

目标:针对非洲和亚洲的银行的零售支付系统

损失金额:数千万美元,在2017年的一次事件中,该组织同时从位于30多个不同国家的ATM中提取现金。在2018年的另一起事件中,其在23个不同的国家同时从ATM取款。  

主要攻击方式:

该组织针对银行内的零售支付系统基础设施,以实现跨境的欺诈性ATM现金提取。

Lazarus组织已在受感染的交换机应用服务器上配置和部署合法脚本,以拦截和回复具有欺诈性,但看似合法的肯定响应消息的财务请求消息。

虽然感染向量未知,但所有受感染的交换机应用程序服务器运行的是不受支持的IBM Advanced Interactive eXecutive(AIX)操作系统版本; 没有证据表明该组织在这些事件中成功利用了AIX操作系统的漏洞。

Lazarus组织有可能在目标交换机应用服务器上部署ISO 8583库,并使用这些库来帮助解释财务请求消息并正确构建欺诈性财务响应消息。

iso是一个国际规范组织,这个8583规范是定义关于银行卡的数据传输格式,我们日常使用的atm,pos在进行数据传输的时候,就使用iso8583协议。

具体的攻击方案,以及针对ATM的通信协议利用图如下

合法和非法PAN账号的不同操作见上图。

这些脚本检查了特定主要帐号(PAN)的入站金融请求消息。脚本仅针对与预期PAN匹配的请求消息生成欺诈性财务响应消息。

该组织阻止了交易消息,并阻止拒绝消息离开交换机,并使用一个GenerateResponse* 功能来批准交易。这些响应消息可能是针对使用CheckPan()验证匹配的特定PAN发送的。

行动中释放文件共性特征:

1、使用以下命令执行so文件

/tmp/.ICE-unix/e <PID> /tmp.ICE-unix/<filename>m.so <argument>

PID,文件名,参数会有所不同。

2、执行不同的脚本命令

./sun <PID>/tmp/.ICE-unix/engine.so  <argument>

执行的文件名为sun  ,并会将结果输出到/tmp/.ICE-unix目录下

以上两条命令都使用inject (模式0)或eject (模式1)参数来配合ISO 8583库进行使用。

m.so [with argument “0” or “1”]

m1.so [with argument “0” or “1”]

m2.so [with argument “0” or “1”]

m3.so [with argument “0” or “1”]

FASTCash行动原文报告链接

https://www.us-cert.gov/ncas/alerts/TA18-275A

FASTCash行动涉及样本分析报告

https://www.us-cert.gov/ncas/analysis-reports/AR18-275A

IOC信息栏

https://www.us-cert.gov/sites/default/files/publications/MAR-10201537.stix.xml

本文源自微信公众号:黑鸟

人已赞赏
安全工具

抽丝剥茧:复盘美国中央情报局CIA的复杂网络武器杀伤链

2019-10-16 10:33:57

安全工具

漏洞利用工具包回顾与总结

2019-10-16 10:34:05

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索