更新(2019年6月8日):亚马逊S3桶的妥协继续和一些大型网站也受到了影响。我们的抓取工具发现恶意注入加载的官方NBA.com网站上的华盛顿奇才页面蛋分。

撇去器插在这个JavaScript库

hxxps:[。] [] [] // S3 amazonaws COM / wsaimages / JS / JS的向导

有趣的是,这个同一图书馆已经被改变(加载内容installw [。] COM)在某些时间早1月份今年。我们已经报道了这一事件给亚马逊。页面的完整存档扫描可以发现在这里

-

上周晚些时候,我们观察到一些妥协亚马逊海滨- 内容传递网络(CDN) - 托管JavaScript库被篡改并注入Web Skimmers。

虽然涉及CDN的攻击通常通过其供应链一次性地影响大量的Web属性,但情况并非总是如此。某些网站要么使用Amazon的云基础架构托管自己的库或链接到专门为它们开发的代码,并在自定义上托管AWS S3桶。

如果没有正确验证外部加载的内容,这些网站将其用户暴露于各种威胁,包括普雷德信用卡数据。在分析这些违规行为后,我们发现他们是从Magecart威胁演员尝试播放许多不同CDN的宽网的竞选活动。

理想的地方隐藏撇取

CDN广泛使用,因为它们为网站所有者提供了很大的好处,包括优化负载时间和成本,以及帮助各种数据分析。

我们在爬行过程中识别的站点没有任何共同点,除了它们都使用自己的自定义CDN来加载不同的库。实际上,他们的CDN存储库被破坏的唯一受害者就是他们自己。

第一个例子显示了在其专用的AWS S3存储托管的JavaScript库。撇取器可以看出附加到原始代码和使用模糊处理掩盖本身。

站点从自己的AWS S3桶加载受损的JavaScript库

第二种情况显示了分离器注入不只是在一个库中,但一些含有相同的目录中,S3一桶仅由这一个网站再次部件内。

显示在AWS多个JavaScript文件提琴手流量捕获注射了分离器

最后,这里的地方分离器在从一个自定义URL CloudFront的加载各种脚本注入另一个例子。

摆弄撇渣器的小提琴手流量捕获注射在自定义云端存储库中

渗出门

这个扫描器使用两级编码(十六进制和Base64)来隐藏一些有效负载,包括出口门(cdn-imgcloud[.]com)。被盗的表格数据在被送回犯罪基础设施之前也要进行编码。

虽然我们预计会有许多玛不多电子商务商店,其中一些受害者包括新闻门户,律师办公室,软件公司和一个小型电信运营商,所有这些都运行各种内容管理系统(CMSES)。

示出的功能的蛋白质分离器代码的片段用于exfiltrate数据

因此,许多人甚至没有在他们的网站内有付款表格。最简单的是注册或登录表格。这使我们认为Magecart威胁演员可能正在进行“喷洒并祈祷”攻击他们能够访问的CDN。也许他们希望损害具有高流量的网站的图书馆或与他们可以窃取输入数据的有价值的基础设施。

与现有的广告系列连接

在这次袭击中使用的分离器看起来怪异的熟悉。的确,时光倒流,我们注意到它曾经有相同的渗出门(字体资产[。] COM)通过约拿单Klijnsma中确定RiskiQ的报告在几个最近的供应链攻击。

RiskIQ,与合作伙必威客服app伴Abuse.chShadowserver基金会,sinkholed都在努力破坏罪犯的基础设施领域和另一个(WW1-filecloud [。] COM)。

比较快照:原始域后渗出门改变被sinkholed

粗略地看一下这个新的CDN-imgcloud [。] COM门,显示这是经过短短几天的RiskIQ博客文章注册走了出来,并使用Carbon2u(具有一定历史)作为域名服务器。

创建日期:2019-05-16T07:12:30z
注册地:诚信科技科技私人有限公司
名称服务器:ns1.carbon2u.com
名称服务器:ns2.carbon2u.com

该域名已解析为属于香港ASN 55933的IP地址45.114.8 [。] 160。通过探索相同的子网,我们最近可以找到其他exfiltration盖茨。

虚拟图表显示新的大门和揭示旧的大门重新联机

我们还可以从上面的Virustotal图表中看到,这是两个域(字体资产[。]和WW1-FileCloud [。] Com),其先前陷入179.43.144 [。] 137(瑞士服务器)回到罪犯手中。

历史被动DNS记录显示,2019年5月25日,字体资产[。] COM开始解析为45.114.8 [。] 161。同样的事情发生了WW1-filecloud [。] COM,其最终解决要45.114.8 [。] 159后几次互换

寻找和利用劣势

这种类型的私人CDN库的攻击是不是新的,而是提醒我们,威胁行为者将寻求利用一切是容易获得进入系统。有时,在前门未来可能不是一个可行的选择,所以他们会寻找其他方式。

虽然这个例子是不是一个第三方的脚本供应链攻击,它是由第三方基础设施服务。除了为您的实际应用的网站访问控制的同一水平,以自己的CDN托管库,其他措施,如任何外部加载的内容验证(通过子源完整性检查,例如) - 可以保存一天。

我们与我们在这项活动中确定的受害者伸出援手,其中一些已经纠正了违约。在其他情况下,我们将直接与亚马逊提交滥用报告。必威平台APP用户受到保护的防止本博客中提到的斯皮克和我们每天发现的新手。

妥协指标(IoCs)

ww1-filecloud [。] com,45.114.8 [。] 159
cdn-imgcloud。com, 45.114.8 [] 160
字体资产[] COM,45.114.8 [。] 161
威克斯云[] COM,45.114.8 [。] 162
JS-CloudHost [。] Com,45.114.8 [。] 163