专门针对金融机构支付相关系统的恶意程序FASTCash，北韩黑客将其用于攻击行动的情况陆续引起美国政府关注，如今有研究人员发现，黑客扩大了攻击范围，开发新的恶意程序变种。

资安研究员HaxRob揭露最新一波的攻击行动，黑客使用的恶意程序在去年6月上传到恶意程序分析平台VirusTotal，为专门针对Ubuntu 22.04 LTS版打造的Linux恶意软件，研究人员特别提及，该变种程序与过往出现的Windows版及AIX版本存在高度相似之处。

针对该恶意程序的来历，最早是美国网络安全暨基础设施安全局（CISA）于2018年12月提出警告，指出使用该恶意程序的黑客为Hidden Cobra；后来，美国网络司令部于2020年也提出警告，当时犯案的黑客组织是Lazarus（APT38）。

此Linux版恶意程序是以共用程序库的形式实作而成，可注入既有系统以ptrace进行系统调用的处理进程，后续拦截与窜改交易消息。

支付交易服务器主要的用途，是处理自动柜员机（ATM）、收银机（PoS）终端与银行中央系统之间的通信，若这类系统被植入FASTCash，会拦截、操纵支付卡及信用卡交易消息。

攻击如何进行？黑客主要是针对持卡人帐号余额不足被拒绝交易的情况而来，窜改其结果为「核可」，一旦攻击者成功操纵相关消息，并传回银行的中央系统，持有提款卡的车手就有机会从ATM领到钱。

值得留意的是，研究人员发现的时候，尚未有杀毒引擎将该Linux恶意程序视为有害，这意味着黑客犯案很可能不受资安防护系统牵制。同时，VirusTotal在今年9月也出现新的Windows版FASTCash，这代表黑客正在积极开发相关作案工具。