每当您在ATM或零售商店的PoS机器中使用您的支付卡时，软件会（以ISO 8583消息格式）询问银行的交换机应用程序服务器以验证交易接受或拒绝，具体取决于您银行的可用金额帐户。然而，隐藏的眼镜蛇攻击者成功地破坏了不同银行的交换机应用服务器，他们拥有最少的余额或零余额的账户（及其支付卡）。然后，安装在受感染交换机应用程序服务器上的恶意软件拦截与攻击者的支付卡相关联的交易请求，并以虚假但合法的肯定响应进行响应，而不实际验证其与核心银行系统的可用余额，最终欺骗ATM以吐出大量没有通知银行的现金数量。

据一位值得信赖的合作伙伴估计，HIDDEN COBRA演员已经盗走了数千万美元，“报道称。“在2017年的一次事件中，HIDDEN COBRA参与者使现金同时从位于30多个不同国家的ATM中撤出。在2018年的另一起事件中，HIDDEN COBRA参与者在23个不同的国家同时从ATM取款。”

隐藏的眼镜蛇威胁演员正在使用FASTCash计划针对非洲和亚洲的银行，尽管美国当局仍在调查FASTCash事件，以确认袭击是否针对美国的银行。

尽管用于危害银行网络的初始感染载体尚不清楚，但美国当局认为，APT威胁行为者使用包含恶意Windows可执行文件的鱼叉式（翻译幽默点）网络钓鱼电子邮件对付不同银行的员工。一旦打开，可执行的感染银行员工的计算机就会使用基于Windows的恶意软件，允许黑客使用合法凭据横向移动银行的网络，并将恶意软件部署到支付交换机应用服务器上。

尽管发现大多数受损的交换机应用程序服务器都运行不受支持的IBM Advanced InteractiveeXecutive（AIX）操作系统版本，但调查人员未发现攻击者利用AIX操作系统中的任何漏洞的证据。US-CERT建议银行在任何用户可以访问交换机应用服务器之前强制执行双因素身份验证，并使用最佳实践来保护其网络。US-CERT还提供了可下载的IOC副本（折衷指标），以帮助您阻止它们并启用网络防御，以减少隐藏眼镜蛇黑客组织对任何恶意网络活动的暴露。在2018年5月，US-CERT还发布了一份警告，提醒用户注意两种不同的恶意软件 - 远程访问特洛伊木马（RAT）Joanap和服务器消息块（SMB）蠕虫称为Brambul - 链接到隐藏的眼镜蛇。去年，美国国土安全部和联邦调查局还发布了一个警报，描述隐藏的眼镜蛇恶意软件Delta Charlie-a DDoS工具，他们认为朝鲜用它来对其目标发动分布式拒绝服务攻击。与隐藏眼镜蛇相关的其他恶意软件包括Destover，WildPositron或Duuzer，以及具有复杂功能的Hangman，如DDoS僵尸网络，键盘记录程序，远程访问工具（RAT）和雨刮器恶意软件（翻译过来有点扯）。

本文仅作技术分享 切勿用于非法途径