朝鲜背后的Magecart攻击袭击

2022-06-17 19:46:04来源:

据SANSEC称,朝鲜国家赞助的拉撒路或隐藏的COBRA先进的持续威胁(APT)集团几乎肯定地落后于近期网络攻击的速度,这些攻击多次零售商的网站,包括克莱尔的配件,包括Magecart信用卡Skimmer,包括Magecart信用卡撇渣器。研究员Willem de Groot,谁一直在跟踪该集团。

朝鲜APTS先前曾倾向于将其活动限制在金融服务公司和韩国加密货币市场上,但SANSEC发现他们已经在超过12个月内运行的竞选活动中掀起了美国和欧洲的零售消费者。

De Groot每周告诉计算机,活动很大程度上是经济上有动力 - 获得硬币被认为是源自孤立,秘密和贫困国家范围内的大部分威胁活动背后的主要动力。

De Groot表示,在暗网络论坛上使用卡片和CVV代码在5美元到30美元之间,使用Magecart可能是该集团的金矿。

这个新发现还标志着Magecart的海洋变化,传统上是由俄罗斯和印度尼西亚黑客群体主导的。

Sansec表示,隐藏的Cobra可能会通过窥探攻击来获取员工密码来获得零售商的商店代码。在内部,它们将恶意Magecart脚本注入商店结账页面,从略微收集数据输入我的客户,如信用卡号,并将其删除到他们的服务器。

De Groot表示,他的团队能够将活动归因于隐藏的COBRA,因为攻击是使用以前的操作中的基础架构来抵消数据。

隐藏眼镜蛇使用的全球exfiltration网络正在利用被劫持和重新扣除的合法网站,其中包括米兰的建模机构,德黑兰的葡萄酒音乐商店,以及新泽西州的独立书店。

在2019年6月首次发现这些网站的使用,并且由于Skimmer代码中的一些独特的识别特征和独特的模式,因此,Sansec一直在跟踪竞选活动,其中可以在De Groot的披露博客中阅读更多技术细节。

在代码中使用共享基础设施或值得注意的怪癖在Magecart攻击中非常常见 - Sansec通常在每天30到100个受感染的在线商店中所以这方面的专业知识是公平的。通常,这些指标非常明显,例如最近的印度尼西亚运行的活动使用了一个独特的调试消息“成功兄弟”。在这种情况下,指标是更加微妙的。

虽然de groot说,不同的演员可能会同时控制劫持网站的网络,但在实践中,这是不太可能的,尤其是因为一旦网站被黑了攻击,常常习惯关闭被剥削的脆弱性来停止竞争对手获得新资产。

这是允许梵率将这种攻击袭击与隐藏的眼镜蛇相结合,具有相当的信心。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章