FASTCash Linux マルウェア

北朝鮮の脅威アクターは、これまで知られていなかった Linux 版 FASTCash マルウェアの亜種を開発し、金融機関の決済スイッチ システムを侵害して不正な現金引き出しを可能にするために展開しています。

FASTCash の以前のバージョンは、Windows および IBM AIX (Unix) システムをターゲットにすることが知られていました。しかし、セキュリティ研究者 HaxRob の最近のレポートによると、新たに発見された Linux の亜種が現在 Ubuntu 22.04 LTS ディストリビューションをターゲットにしており、このバージョンが初めて検出されたことになります。

FASTCashマルウェアは何年もATMを狙っている

2018年12月、CISA（サイバーセキュリティ・インフラセキュリティ庁）は、FASTCash ATM現金引き出し計画について初めて警告を発し、この活動は北朝鮮の国家支援を受けるハッカー集団「Hidden Cobra」によるものだとしました。同庁の調査により、攻撃者は少なくとも2016年からFASTCashを使用しており、30か国以上で同時ATM引き出し攻撃を仕掛け、1回の攻撃で数千万ドルを盗んでいたことが明らかになりました。

2020年、米国サイバー軍は再び警戒を強め、FASTCash 2.0の活動をAPT38（ラザルス）と関連付けました。2021年までに、世界中の金融機関から13億ドル以上を盗んだとして北朝鮮の個人3名に対する起訴が発表されました。

研究者が発見した新たな変異体

2023 年 6 月に発見された FASTCash の最新亜種は、Windows および AIX システムを標的とする以前の亜種と多くの動作特性を共有しています。このバージョンは、支払いスイッチ サーバーで実行中のプロセスに挿入される共有ライブラリとして表示され、「ptrace」システム コールを使用してネットワーク機能にフックします。

決済スイッチは仲介役として機能し、取引要求と応答をルーティングすることで、ATM または PoS 端末と銀行の中央システム間の通信を容易にします。マルウェアは、金融業界のデビット カードとクレジットカードの処理に不可欠な ISO8583 取引メッセージを傍受して操作することで、これらのスイッチを悪用します。

このマルウェアは、カード所有者のアカウントの残高不足により通常は取引を拒否するメッセージを特にターゲットにしています。これらのメッセージを変更し、「拒否」応答を「承認」応答に置き換えます。

さらに、改ざんされたメッセージは、12,000～30,000トルコリラ（350～875ドル）のランダムな引き出し金額を承認します。承認コード（DE38、DE39）と承認金額（DE54）を含む改ざんされたメッセージが銀行の中央システムに送り返されると、銀行は取引を承認します。その後、攻撃者のために働くマネーミュール（資金運び屋）がATMから現金を引き出します。

このLinuxの亜種は発見されて以来、ほとんどの標準的なセキュリティツールを回避し、攻撃者が検知されることなく不正な取引を実行できると考えられています。サイバーセキュリティの専門家は、ハッカーがツールセットを継続的に改良していることを示唆する兆候も発見しており、2024年9月にFASTCashの新しいWindowsバージョンが登場するという証拠もあります。