FASTCASHスキームは、Lazarusハッカーグループによって使用されている危険なATMキャッシュアウトスキームです。. この犯罪集団は、注目を集めるターゲットに対して高度な攻撃キャンペーンを開始するのに多作です. 私たちの記事は、ATMマシンからお金を引き出す彼らの最新の攻撃を要約しています.
Lazarusハッカーは進行中のFASTCASHスキーム攻撃の背後にいます
US-CERTセンターは、DHSとの共同勧告を発表しました, FBIと財務省は、犯罪者がATMマシンを現金化できるようにするFASTCASHスキームの広範な乱用について. このハッキンググループは、複雑なコード(ターゲット専用に作成されたカスタムメイドのツール)を使用して注目を集める攻撃を実行することでよく知られています。. 実施された調査によると、少なくとも以来、FASTCASH手法を悪用していることがわかります。 2016 銀行のターゲットに対して.
調査したセキュリティ専門家 10 FASTCASHコードを含むマルウェアのサンプル. これらは、トランザクションを処理してメッセージを操作するSWIFTサーバーに侵入するように考案されています。. この結果、ATMマシンの動作が変更されます. 分析によると、Lazarusのハッカーは、次の場所にあるマシンから同時に資金を引き出すことができます。 23 さまざまな国.SWIFTサーバーが操作される理由は、ターゲットユーザーの銀行口座の詳細を検証するためです。. このデータの操作は、資金の引き出しにつながる可能性があります.
FASTCASH手法は、脆弱性を利用するスクリプトを介してアプリケーションサーバーに展開されます. 侵入が行われると、悪意のあるコードがATMマシンからの金融メッセージを傍受して返信し、独自の返信を作成します。. 応答は確立された規範と構造に従います. これは、ハッカーがプロトコルと標準がどのように処理されるかについての高度な知識を持っていることを意味します.
攻撃が成功する理由の1つは、侵害されたアプリケーションサーバーがサポートされていないオペレーティングシステムバージョンを実行していたことです。, 具体的にはIBMAIX (Advanced Interactive eXecutive) これは、エンタープライズクライアントに人気のあるUNIXの選択肢です。. 分析はまた、トランザクションを開始するために使用されるアカウントのほとんどが最小限のアクティビティまたはゼロ残高を持っていたことを示しています. これまでのところ、この手法の確認された事例はアフリカとアジアの銀行です。. 米国政府の専門家は、報告された事件を調査して、それらがFASCASHおよびLazarusハッカーに関連しているかどうかを確認しています。.
感染源は 詐欺メッセージ 電子メールメッセージまたはインターネットサイトから入ってくる. ターゲットはメッセージを送信されるか、正当なソースとして表示されるように設計されたサイトにリダイレクトされました. 実行可能ファイルは、マルウェア感染につながる主要なペイロードです.
このケースの複雑さとLazarusハッカーの高度な知識を考えると、他のキャンペーンが予定されていると予想されます.