Kuzey Koreli tehdit aktörlerinin, bilinen bir kötü amaçlı yazılım ailesinin Linux versiyonunu kullandıkları gözlemlendi. FASTNakit mali motivasyonlu bir kampanyanın parçası olarak fon çalmak.
HaxRob adlı bir güvenlik araştırmacısı, kötü amaçlı yazılımın “ATM’lerden yetkisiz para çekilmesini kolaylaştırmak amacıyla kart işlemlerini gerçekleştiren, güvenliği ihlal edilmiş ağlardaki ödeme anahtarlarına yüklendiğini” belirtti. söz konusu.
FASTCash, ABD hükümeti tarafından ilk kez Ekim 2018’de, Kuzey Kore bağlantılı saldırganlar tarafından, en azından 2016’nın sonlarından bu yana Afrika ve Asya’daki bankaları hedef alan bir ATM para çekme planıyla bağlantılı olarak kullanıldığı belgelendi.
O dönemde kurumlar, “FASTCash programları, dolandırıcılık işlemlerini kolaylaştırmak için bankalar içindeki ödeme anahtarı uygulama sunucularını uzaktan tehlikeye atıyordu” dedi.
“2017’deki bir olayda, HIDDEN COBRA aktörleri 30’dan fazla farklı ülkedeki ATM’lerden eş zamanlı nakit çekilmesini sağladı. 2018’deki başka bir olayda ise HIDDEN COBRA aktörleri 23 farklı ülkedeki ATM’lerden eş zamanlı nakit çekilmesini sağladı.”
Önceki FASTCash yapıtları Microsoft Windows çalıştıran sistemlere sahipken (dahil bir Geçen ay gibi yakın bir tarihte tespit edilen) ve IBM AIX’e göre, en son bulgular, Linux sistemlerine sızmak için tasarlanmış örneklerin ilk gönderilen Haziran 2023 ortasında VirusTotal platformuna.
Kötü amaçlı yazılım, Ubuntu Linux 20.04 için derlenen paylaşılan bir nesne (“libMyFc.so”) biçimini alıyor. Engellemek ve değiştirmek için tasarlandı ISO 8583 Yetkisiz para çekme işlemlerini başlatmak amacıyla banka ve kredi kartı işlemleri için kullanılan işlem mesajları.
Spesifik olarak, kart sahibi hesap numaralarının önceden tanımlanmış bir listesi için yeterli bakiye olmaması nedeniyle reddedilen (manyetik kaydırma) işlem mesajlarının manipüle edilmesi ve bunların Türk Lirası cinsinden rastgele miktarda para çekilmesinin onaylanması gerekmektedir.
Dolandırıcılık işlemi başına çekilen fonlar 12.000 ila 30.000 Lira (350 ila 875 ABD Doları) arasında değişmektedir ve bu da Windows FASTCash eserini (“switch.dll”) yansıtmaktadır. önceden ayrıntılı ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Eylül 2020’de.
“[The] Linux versiyonunun keşfi, Linux sunucu ortamlarında sıklıkla bulunmayan yeterli algılama yeteneklerine olan ihtiyacı daha da vurguluyor” dedi araştırmacı.