注:本博客文章是的Malwarebytes和HYAS威胁情报团队之间的合作。必威平台APP
Magecart是一个家喻户晓的名字,它指的是通过网上商店窃取信用卡数据。最常见的情况是,犯罪分子通过注入恶意JavaScript代码来窃取受害者在结帐页面上输入的任何信息,从而破坏电子商务网站。
分类Magecart威胁演员由于撇渣器的多样性和重复使用而不是一项简单的任务。将Magecart归于“团体”的努力,以风险Q和FlashPoint的全面综合里面Magecart报告于2018年秋季发布,其次是集团-IB几个月后。
最近,有关组织背后的实际威胁行动者的信息已经浮出水面。例如,IBM公开识别第6组为FIN6.这对许多级别有趣,因为它强化了现有威胁团体利用其过去经历的想法,将它们应用于电子商务领域的盗窃。
引起我们兴趣的一个组织是group 4,这是一个更先进的网络犯罪组织。与保安公司合作HYAS,我们发现电子邮件地址的一些有趣的图案用于注册属于Magecart匹配那些所谓的复杂的威胁组域钴集团,又名钴帮或钴蜘蛛。
在这个博客中,我们将详细介绍我们的调查结果并显示第4组不仅通过JavaScript进行客户端撇去,而且很可能仍然是正在做同样的服务器端。重要的是要注意,大多数关于Magecart的报告只覆盖前者,这更易于识别。
Magecart集团4.
在里面里面Magecart报告,第四组被描述为先进的,使用技术融入正常的交通。例如,Magecart将注册似乎与广告商或分析提供商绑定的域名(参阅IOCs, Cobalt Group使用此TTP和命名约定确定的域名)。报告中另一个有趣的方面是,第四组被怀疑有银行恶意软件的历史。
客户端回收船
第4组的一个原始撇码被隐藏为jquery.mask.js插件(脚本的副本见IOCs)。恶意代码附加在脚本的末尾,并使用了一些模糊层。十六进制编码的数据转换为Base64, Base64可以被转换为标准文本,以显示skimmer活动和一个出口门。
服务器端分离器
在检查Magecart Group 4相关的基础设施时,我们发现了一个PHP脚本(见完整模板的IOCs),它可能被错误地用作JavaScript。实际上,查看这类文件通常需要访问后端服务器。
这个小号代码片段查找与金融交易相关联的某些关键字,然后在secureQbrowser [。] COM上将请求和cookie数据发送到exfiltration服务器。丹尼斯SINEGUBKO在他的帖子中描述了这个脚本的几乎精确的副本自动装载端偷窃者.
连接电子邮件注册和出境大门
两者上面示出的客户端和服务器端撇渣器结构域(bootstraproxy [] COM和s3-US-西[。] COM)被注册到robertbalbarran@protonmail.com。它们由RiskIQ下上市Magecart组4:永远也不会消失,只是推进IOCS.
通过检查其渗出门(secure.upgradenstore [。] COM和secureqbrowser [。] COM),我们连他们到其他注册的电子邮件,看到的模式出现。
用于注册属于Magecart 4族Magecart域名的电子邮件地址包含一个[第一名称],[初始]和[姓]。扩大我们的搜索由4组使用,并通过HYAS”科莫克斯数据集搜索其他领域,我们看到这一趋势继续下去:
关于钴集团
2016年夏天,Cobalt集团因其对欧洲金融机构的“头奖”攻击而成为公众关注的焦点,据报道该集团净赚了300多万美元。从那时起,据说他们已经从全球机构那里积累了超过10亿美元的资金,并不断改进他们的策略、技术和程序。
钴域名注册等的TTP
随着战术的发展不断变化,Cobalt在电子邮件命名惯例中使用的可识别模式不仅允许HYAS识别以前的活动域名,还帮助将Cobalt集团的活动链接到上述识别的Magecart域名。
从先前的[姓名],[姓氏],[fournumbers](压倒性使用protonmail帐户,用少数的tutanota / keemail.me电子邮件帐户)变为[姓名]的上面提到的公约的公约之一的小的移位[最初],[姓氏]再次使用相同的电子邮件服务和注册,以及特别是同使用隐私保护服务。
鉴于所涉及的所有领域使用的私密性服务,这是极不可能的,这个命名约定将已知的任何其他演员除了那些谁注册的两个钴集团和Magecart基础设施。此外,进一步的调查显示,无论使用的电子邮件提供商,看似独立账户的10甚至超过注册之间的几周和几个月内重复使用只有两个不同的IP地址。
其中一个电子邮件是petersmelanie@protonmail.com,用于注册23个域,包括My1xbet [。]顶部。该域名用于利用CVE-2017-0199的网络钓鱼活动,诱饵文件叫做欺诈事务.DOC。
同样petersmelanie@protonmail.com还甲骨文公司的业务[。] COM。类似的活动对Oracle和各种银行归因于钴集团,例如,oracle-system[.]com。
日益严重的威胁需要持续的工作
根据它们的历史联系的空间,成熟的演员群体,如FIN6和其他的入口,这是合乎逻辑的结论是钴集团也将进入这一领域,并继续分散其对全球金融机构犯罪的努力。
客户端和服务器端浏览器的使用,以及这在识别高级威胁组的Magecart妥协所带来的挑战,要求行业合作伙伴不断开展工作,以帮助抵御这一重大且不断增长的威胁。必威客服app有鉴于此,本文作者希望认可行业研究人员和执法官员对Cobalt等战斗组织所做的重大贡献,并希望其中包含的信息能够增加这一知识宝库,并进一步加强这些努力。
妥协指标(IOCs)
客户端回收船
服务器端分离器
与Magecart组4个域关联的注册商电子邮件
robertbalbarran@protonmail.com
josemhansen@protonmail.com.
jamesncharette@protonmail.com.
paulajwilson@protonmail.com
charliesdiaz@protonmail.ch.
johnnware@keemail.me.
everettgsullivan@tutanota.com
kellymwise@protonmail.ch
michaelslantigua@keemail.me
beverlybshubert@protonmail.com
carolynkwoosley@protonmail.com
johnnysramirez@tutanota.com
normajhollins@tutamail.com.
timothykasten@protonmail.com
gladysjhipp @ protonmail.com.
guykmcdonald@protonmail.com
johndroy@outlook.com
与钴域相关的注册电子邮件
petersmelanie@protonmail.com
jasoncantrell1996@protonmail.com
注册Magecart电子邮件命名约定的Cobalt域名
oracle-business。com
my-1xbet。com
网上sbeibank(。)
Curacaoegaming [。]网站
my1xbet [。]顶
newreg [。]网站
sbepbank [。] COM
orkreestr [。] COM
orkreestr。主机
sbersafe(。)
AoReStr [。]网站
newreg。主机
sbeibank [。] COM
sbelbank [。] com
aoreestr [。]在线
curacaoegaming [。]在线
sbepbank [。]在线
sbelbank [。]在线
库拉索-eGaming的[。]在线
my1xbet [。]在线
orkreestr [。]按
newreg [。]在线
aoreestr [。] COM
通过命名约定确定上一页FIN7域
akamaiservice-CDN [。] COM
appleservice-cdn。com
bing-cdn [。] com
预订-CDN [。] COM
CDN-googleapi [。] COM
cdn-skype。com
CDN-yahooapi [。] COM
cdnj-的CloudFlare [。] COM
cisco-cdn。com
的CloudFlare-CDN-R5 [。] COM
digicert-CDN [。] COM
交换CDN [。] COM
facebook77-CDN [。] COM
globaltech-cdn。com
gmail-cdn3。com
GOOGL解析[。] COM
谷歌的服务-S5 [。] COM
hpservice-CDN [。] COM
infosys-cdn。com
的Instagram-CDN [。] COM
live-cdn2。com
logitech-cdn。com
MSDN-CDN [。] COM
MSDN更新[。] COM
mse-cdn。com
mse-cdn。com
PCI-CDN [。] COM
瑞昱-CDN [。] COM
servicebing-cdn。com
servicebing-cdn。com
测试-CDN [。] COM
tw32-cdn。com
VMware-CDN [。] com
windowsupdatemicrosoft。com
yahooservices-cdn。com
评论