2018年10月2日，US-CERT、國土安全部、財政部和聯邦調查局發出警報。根據這一最新警告是，Hidden Cobra（美國政府對Lazarus的稱呼）一直在進行FASTCash攻擊，2016年起就開始從亞洲和非洲的銀行竊取自動柜員機（ATM）的資金。
Lazarus是一個非�；钴S的攻擊組織，涉及網絡犯罪和間諜活動。該組織最初以其間諜活動和一些備受矚目的破壞性攻擊而聞名，包括2014年對索尼公司的攻擊。最近，Lazarus也參與了出于經濟動機的攻擊，其中包括來自孟加拉國中央銀行的8100萬美元盜竊案和WannaCry勒索軟件。
根據US-CERT的報告，賽門鐵克研究發現了該組織在近期金融攻擊浪潮中使用的關鍵組件。這項名為“FASTCash”的行動使Lazarus欺騙性的清空了自動取款機中的現金。為了進行欺詐性提款，Lazarus首先入侵了目標銀行的網絡并控制了處理ATM交易的交換機應用服務器。
一旦這些服務器遭到入侵，就會被部署之前未知的惡意軟件（Trojan.Fastcash）。該惡意軟件反過來攔截欺詐性的Lazarus現金提取請求并發送虛假的批準回復，允許攻擊者從ATM竊取現金。
根據美國政府的警告，2017年發生的一起事件中，Lazarus從30多個國家的ATM機同時提取現金。在2018年的另一起重大事件中，盜取的現金來自23個不同國家的自動取款機。到目前為止，Lazarus FASTCash估計已經盜取了數千萬美元。

一、FASTCash攻擊細節
為了允許從ATM進行欺騙性提款，攻擊者將惡意的高級交互式執行（AIX）可執行文件注入到金融交易網絡交換機應用服務器上正在運行的合法進程中，在此情況下是處理ATM交易的網絡。惡意可執行文件包含構造欺詐性ISO 8583消息的邏輯，ISO 8583是金融交易消息傳遞的標準。之前沒有記錄反映此可執行文件的用途。之前一直認為攻擊者使用腳本來操縱服務器上的合法軟件來準許欺詐活動。
但是，賽門鐵克的分析發現，這個可執行文件實際上是惡意軟件，我們將其命名為Trojan.Fastcash。Trojan.Fastcash有兩個主要功能：
1.監視傳入的消息并攔截攻擊者生成的欺詐性事務請求，以阻止它們到達處理事務的交換機應用程序。
2.包含生成欺詐性交易請求響應的邏輯，該邏輯視情生成三個響應之一。
一旦安裝在服務器上，Trojan.Fastcash將讀取所有傳入的網絡流量，掃描傳入的ISO 8583請求消息。它將讀取所有消息的主帳號（PAN），如果發現包含攻擊者使用的PAN號，惡意軟件將嘗試修改這些消息。如何修改消息取決于受害機構。然后，它將發送批準欺詐性提款請求的虛假響應消息。結果是，Lazarus攻擊者通過自動取款機取款的嘗試獲得批準。
以下是Trojan.Fastcash用于生成虛假響應的響應邏輯的一個示例。此特定示例的邏輯基于傳入的攻擊者請求構建三個虛假響應之一：
對于消息類型指示符== 200（ATM交易）和以90開始的服務點進入模式（僅限磁條）：
· 如果處理代碼以3開始（余額查詢）：響應代碼= 00（已批準）
· 否則，如果主要帳號被攻擊者列入黑名單：響應代碼= 55（無效的PIN）
· 所有其他處理代碼（使用非黑名單的PAN）：響應代碼= 00（已批準）
在這種情況下，攻擊者似乎已經具備了根據自己的帳號黑名單，有選擇的拒絕交易的能力。但是，此示例中未實現此功能，并且檢查黑名單始終返回“False”。
賽門鐵克發現了幾種不同的Trojan.Fastcash變體，每種變體都使用不同的響應邏輯。我們相信每個變體都是針對特定的事務處理網絡量身定制的，因此具有自己的定制響應邏輯。
用于執行FASTCash攻擊的PAN與真實賬戶有關。根據US-CERT報告，用于啟動交易的大多數賬戶都有最小的賬戶余額或零余額。攻擊者如何控制這些帳戶仍不清楚。攻擊者可能會自己打開帳戶并使用相應的銀行卡提出取款請求。另一種可能性是攻擊者使用被盜卡進行攻擊。
在迄今為止報告的所有FASTCash攻擊中，攻擊者已經控制了運行不再受支持的AIX操作系統版本的銀行應用程序服務器，其版本超出了Service Pack支持日期的最后期限。
二、Lazarus介紹
Lazarus是一個非�；钴S的組織，涉及網絡犯罪和間諜活動。Lazarus最初以參與間諜活動和一些備受矚目的破壞性攻擊而聞名，其中包括2014年對索尼電影公司的攻擊，該攻擊中大量信息被盜、計算機數據被惡意軟件清除。
近年來，Lazarus也參與了有經濟動機的攻擊。該組織與2016年孟加拉國中央銀行的8100萬美元盜竊案以及其他一些銀行搶劫案有關。
Lazarus還與2017年5月的WannaCry勒索軟件爆發有關。WannaCry合并了NSA泄漏的“EternalBlue”利用，使用Windows中的兩個已知漏洞（CVE-2017-0144和CVE-2017-0145）將勒索軟件變成蠕蟲，擴散到受害者網絡上沒有打補丁的計算機以及連接到互聯網的其他易受攻擊的計算機上。在發布后的幾個小時內，WannaCry就感染了全球數十萬臺計算機。
三、對金融部門的持續攻擊
最近的FASTCash攻擊浪潮表明，出于經濟動機的攻擊不僅僅是Lazarus組織的過往興趣，現在可以被視為其核心活動之一。
與2016年系列虛擬銀行搶劫案（包括孟加拉國銀行搶劫案）一樣，FASTCash表明，Lazarus擁有對銀行系統和交易處理協議的深入了解，并具備利用這些知識從竊取銀行竊取大量資金的專業知識。
簡而言之，Lazarus繼續對金融部門構成嚴重威脅，金融機構應采取一切必要措施，確保其支付系統完全及時更新。
四、緩解措施
金融機構應確保操作系統和所有其他軟件是最新的。軟件更新通常會包含可能被攻擊者利用的新發現的安全漏洞的補丁。在迄今為止報告的所有FASTCash攻擊中，攻擊者已經控制了運行不受支持的AIX操作系統版本的銀行應用程序服務器，超出了其Service Pack支持日期的最后期限。
IoC
D465637518024262C063F4A82D799A4E40FF3381014972F24EA18BC23C3B27EE (Trojan.Fastcash Injector)
CA9AB48D293CC84092E8DB8F0CA99CB155B30C61D32A1DA7CD3687DE454FE86C (Trojan.Fastcash DLL)
10AC312C8DD02E417DD24D53C99525C29D74DCBC84730351AD7A4E0A4B1A0EBA (Trojan.Fastcash DLL)
3A5BA44F140821849DE2D82D5A137C3BB5A736130DDDB86B296D94E6B421594C (Trojan.Fastcash DLL)