보안 연구원 HaxRob의 새로운 보고서에 따르면, 북한의 해커들이 금융 기관의 결제 스위치 시스템을 감염시키고 무단으로 현금을 인출하는 데 새로운 리눅스 변형 FASTCash 악성 코드를 사용하고 있습니다. 이전의 FASTCash 변형은 Windows와 IBM AIX (Unix) 시스템을 대상으로 했지만, 이번에 발견된 리눅스 버전은 Ubuntu 22.04 LTS 배포판을 대상으로 합니다.
CISA는 2018년 12월에 처음으로 FASTCash ATM 현금 인출 방식에 대해 경고하며, 이 활동을 'Hidden Cobra'라는 북한의 국가 후원 해킹 그룹에게 귀속시켰습니다. 이 그룹은 2016년 이후로 FASTCash를 사용하여 30개 이상의 국가에서 동시에 ATM 인출 공격을 수행하며, 한 번의 사건당 수천만 달러를 훔쳐왔습니다. 2020년에는 미국 사이버 사령부가 이 위협을 다시 강조하며, 부활한 FASTCash 2.0 활동을 APT38 (Lazarus)에 연결시켰습니다.
HaxRob이 최근 발견한 새로운 변형은 2023년 6월에 처음으로 VirusTotal에 제출되었으며, 이전의 Windows와 AIX 변형과 많은 운영적 유사성을 보입니다. 이 악성 코드는 결제 스위치 서버에서 실행 중인 프로세스에 'ptrace' 시스템 호출을 사용하여 주입되는 공유 라이브러리의 형태로 나타납니다.
요약
- 북한 해커들이 새로운 리눅스 변형 FASTCash 악성 코드를 사용하여 금융 기관의 결제 스위치 시스템을 감염시키고 무단으로 현금을 인출하고 있다.
- 이 악성 코드는 Ubuntu 22.04 LTS 배포판을 대상으로 하며, 이전의 Windows와 AIX 변형과 많은 운영적 유사성을 보인다.
- 이 악성 코드는 결제 스위치 서버에서 실행 중인 프로세스에 'ptrace' 시스템 호출을 사용하여 주입되는 공유 라이브러리의 형태로 나타난다.
- 이 악성 코드는 금융 기관의 중앙 시스템과 ATM/POS 단말기 간의 통신을 처리하는 중개자인 스위치를 조작한다.
- 이 악성 코드는 카드 소지자의 계좌에 잔액이 부족하여 거래가 거부되는 메시지를 대상으로 하며, "거부" 응답을 "승인"으로 바꾼다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.