Le schéma de système est un Retrait éclair ATM dangereux cash-out qui est utilisé par les pirates Lazarus groupe. Ce collectif criminel est prolifique au lancement de campagnes d'attaque contre des cibles avancées de haut niveau. Notre article résume leurs dernières attaques qui extorque de l'argent distributeurs automatiques de billets.
Lazare Les pirates informatiques sont derrière les attaques Scheme en cours Retrait éclair
Le centre US-CERT a publié un avis conjoint avec le DHS, Le FBI et le Trésor sur la violence généralisée du régime de criminels qui permet Retrait éclair de distributeurs automatiques de billets ATM-out. Ce groupe de piratage est bien connu pour mener des attaques de grande envergure en utilisant le code complexe - des outils sur mesure qui sont créés spécifiquement pour les cibles. La recherche montre qu'ils subi ont abusé de la technique depuis au moins Retrait éclair 2016 contre des cibles bancaires.
Les experts en sécurité ont examiné 10 des échantillons de logiciels malveillants contenant du code Retrait éclair. Ils sont conçus pour les serveurs de s'immiscer dans SWIFT qui traitent les transactions et manipuler les messages. En conséquence de ce comportement des distributeurs automatiques de billets sera modifié. L'analyse montre que les pirates ont Lazare il possible de fonds retirés simultanément de machines situées dans 23 différents pays.La raison pour laquelle les serveurs SWIFT sont manipulés est qu'ils valident les détails du compte bancaire des utilisateurs cibles. Manipulations de ces données peut entraîner le retrait de leurs fonds.
La technique de est déployée sur Retrait éclair des serveurs d'applications via des scripts qui tirent parti des vulnérabilités. Une fois que les intrusions sont faites le code malveillant intercepter et répondre aux messages financiers à venir dans des distributeurs automatiques de billets et de l'artisanat de ses propres réponses. Les réponses suivent les normes établies et la structure. Cela signifie que les pirates ont des connaissances avancées de la façon dont les protocoles et les normes sont traitées.
L'une des raisons pour lesquelles les attaques réussissent est que les serveurs d'applications en cours d'exécution ont été compromis versions du système d'exploitation non pris en charge, spécifiquement IBM AIX (Advanced Interactive eXecutive) qui est aussi populaire choix UNIX pour les clients d'entreprise. L'analyse montre également que la plupart des comptes qui sont utilisés pour initier les transactions ont eu une activité minimale ou un solde nul. Jusqu'à présent, les cas de cette technique sont confirmés des banques en Afrique et en Asie. experts gouvernementaux États-Unis enquêtent sur les incidents signalés pour voir si elles sont liées à FASCASH et les pirates Lazare.
La source des infections sont considérées comme messages d'escroquerie entrant par e-mails ou des sites Internet. Les cibles ont été envoyés des messages ou redirigés vers des sites qui sont conçus pour apparaître comme des sources légitimes. Un fichier exécutable est la charge utile primaire qui conduit à l'infection par ce Malware.
Compte tenu de la complexité de cette affaire et la connaissance avancée des pirates Lazarus nous nous attendons à ce que d'autres campagnes sont à venir.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: