朝鲜背后的Magecart攻击袭击
据SANSEC称,朝鲜国家赞助的拉撒路或隐藏的COBRA先进的持续威胁(APT)集团几乎肯定地落后于近期网络攻击的速度,这些攻击多次零售商的网站,包括克莱尔的配件,包括Magecart信用卡Skimmer,包括Magecart信用卡撇渣器。研究员Willem de Groot,谁一直在跟踪该集团。
朝鲜APTS先前曾倾向于将其活动限制在金融服务公司和韩国加密货币市场上,但SANSEC发现他们已经在超过12个月内运行的竞选活动中掀起了美国和欧洲的零售消费者。
De Groot每周告诉计算机,活动很大程度上是经济上有动力 - 获得硬币被认为是源自孤立,秘密和贫困国家范围内的大部分威胁活动背后的主要动力。
De Groot表示,在暗网络论坛上使用卡片和CVV代码在5美元到30美元之间,使用Magecart可能是该集团的金矿。
这个新发现还标志着Magecart的海洋变化,传统上是由俄罗斯和印度尼西亚黑客群体主导的。
Sansec表示,隐藏的Cobra可能会通过窥探攻击来获取员工密码来获得零售商的商店代码。在内部,它们将恶意Magecart脚本注入商店结账页面,从略微收集数据输入我的客户,如信用卡号,并将其删除到他们的服务器。
De Groot表示,他的团队能够将活动归因于隐藏的COBRA,因为攻击是使用以前的操作中的基础架构来抵消数据。
隐藏眼镜蛇使用的全球exfiltration网络正在利用被劫持和重新扣除的合法网站,其中包括米兰的建模机构,德黑兰的葡萄酒音乐商店,以及新泽西州的独立书店。
在2019年6月首次发现这些网站的使用,并且由于Skimmer代码中的一些独特的识别特征和独特的模式,因此,Sansec一直在跟踪竞选活动,其中可以在De Groot的披露博客中阅读更多技术细节。
在代码中使用共享基础设施或值得注意的怪癖在Magecart攻击中非常常见 - Sansec通常在每天30到100个受感染的在线商店中所以这方面的专业知识是公平的。通常,这些指标非常明显,例如最近的印度尼西亚运行的活动使用了一个独特的调试消息“成功兄弟”。在这种情况下,指标是更加微妙的。
虽然de groot说,不同的演员可能会同时控制劫持网站的网络,但在实践中,这是不太可能的,尤其是因为一旦网站被黑了攻击,常常习惯关闭被剥削的脆弱性来停止竞争对手获得新资产。
这是允许梵率将这种攻击袭击与隐藏的眼镜蛇相结合,具有相当的信心。