信息來(lái)源:51CTO
來(lái)自網(wǎng)絡(luò)安全公司Sansec的最新研究表明,來(lái)自朝鮮的黑客組織Lazarus APT一直在竊取美國(guó)和歐洲大型零售商戶(hù)的支付卡信息,他們破壞了合法網(wǎng)站并利用電子分離器竊取信用卡數(shù)據(jù)。
為了避免在泄露支付卡數(shù)據(jù)時(shí)被發(fā)現(xiàn),這些朝鮮黑客還使用類(lèi)似于受害者商店的域名進(jìn)行注冊(cè)。
這種策略在Magecart式攻擊中非常普遍:威脅者依賴(lài)惡意腳本(網(wǎng)絡(luò)瀏覽器),從結(jié)帳頁(yè)面復(fù)制敏感信息。如今從在線(xiàn)商店的客戶(hù)那里竊取信用卡信息已成為越來(lái)越嚴(yán)重的威脅。
于是在調(diào)查支付卡盜竊案時(shí),Sansec的研究人員發(fā)現(xiàn),該惡意代碼是從涉及Lazarus APT的網(wǎng)絡(luò)釣魚(yú)活動(dòng)域中加載的,并且和攻擊中使用的電子分離器代碼共享相同的代碼庫(kù)。
此次受害者名單包括數(shù)十家商店,其中有配飾巨頭克萊爾(Claire),黃氏珠寶商(Wongs Jewellers),F(xiàn)ocus Camera,CBD Armour,Microbattery和Realchems。
多家網(wǎng)絡(luò)安全公司已把滲透域與朝鮮網(wǎng)絡(luò)攻擊聯(lián)系在一起,下圖顯示了朝鮮黑客從受害者那里收集支付卡信息的滲透節(jié)點(diǎn)(紅色)(綠色)。
-
com(spearphishing操作1,2)
-
net(malspam 1,2)
-
areac-agr.com(Dacls RAT的下載服務(wù)器)
-
com(與areac-agr.com共享IP,在Dacls示例中進(jìn)行硬編碼)
“為了使業(yè)務(wù)獲利,HIDDEN COBRA開(kāi)發(fā)了一個(gè)全球滲漏網(wǎng)絡(luò)。該網(wǎng)絡(luò)可以利用合法的站點(diǎn),這些站點(diǎn)被劫持并重新用于偽裝成犯罪活動(dòng)?!?研究人員發(fā)布的報(bào)告表示“該網(wǎng)絡(luò)還可以用來(lái)對(duì)被盜資產(chǎn)進(jìn)行歸類(lèi),以便可以在暗網(wǎng)市場(chǎng)上出售它們。
Sansec已經(jīng)確定了許多這樣的滲透節(jié)點(diǎn),最初,滲透節(jié)點(diǎn)是Lux Model Agency的網(wǎng)站,但該惡意軟件在24小時(shí)內(nèi)消失,并在一周后重新出現(xiàn)在同一家商店中。
于是米蘭的模特經(jīng)紀(jì)公司,德黑蘭的古董音樂(lè)商店和新澤西的家庭書(shū)店都遭殃了,在接下來(lái)的幾個(gè)月中,相同的惡意腳本使用以下被劫持的站點(diǎn)來(lái)加載并收集被盜的信用卡,從而感染了數(shù)十家商店:
-
com(在2019-07-19和2019-08-10之間)
-
com(在2019-07-06和2019-07-09之間)
-
net(在2019-05-30和2019-11-26之間)
-
areac-agr.com(在2019-05-30和2020-05-01之間)
-
com(介于2019-06-23和2020-04-07之間)
-
com(在2019-07-01和2020-05-24之間)
注冊(cè)與受害者商店相似的域名是黑客組織Lazarus APT產(chǎn)生成果的另一種策略。在2020年2月至2020年3月間的另一次運(yùn)動(dòng)中,黑客注冊(cè)了易與Claire's,F(xiàn)ocus Camera和PaperSource混淆的域。
于是Sansec發(fā)現(xiàn),這三個(gè)品牌的網(wǎng)站都受到了付款掠奪惡意軟件的侵害,并且在假域名加載了腳本并收集了數(shù)據(jù)。除了域名注冊(cè)商和DNS服務(wù)外,它們還共享了一個(gè)“奇數(shù)代碼段”,被跟蹤到是由同一參與者操作的。
Sansec研究人員總結(jié)說(shuō):不排除這些攻擊是與朝鮮無(wú)關(guān)的其他攻擊者的所為,但同時(shí)控制一套劫持網(wǎng)站的可能性很小。所以,朝鮮至少?gòu)?019年5月起就一直在進(jìn)行大規(guī)模的盜竊攻擊活動(dòng),并將其作為賺錢(qián)的一種手段。