本文由Jérôme Segura, William Tsing和Adam Thomas撰写。
在之前的邮政,我们描述了Magecart Group 4和Cobalt团伙注册的某些域名可能重叠。虽然归因总是一件困难的事情,但分享ttp可以帮助其他人将野外观察到的活动与威胁团体之间的点联系起来。
这一次,我们通过检查一些域以及它们与其他恶意活动的联系来了解Magecart Group 5。数据在whois(之前)发生变化之前GDPR生效)并允许我们识别连接到Dridex网络钓鱼活动和Carbanak集团的注册人数据。
Magecart组5战术
有一些例外,如Ticketmaster违反,第5组有不同的Modus Operandi;它针对电子商务商家使用的供应链来加载各种库,分析或安全密封。攻击包括妥协第三方供应商,并影响下游数百甚至数千个网站。
2018年9月博客,我们写了一个信任印章,被大量的商人装载(它的恶意代码)。信任印章本质上是一个徽章形状的信心指标,让购物者放心,在线商店是安全的,没有恶意软件。
Magecart Group 5的浏览脚本很大程度上是模糊的,并设置为每当有人在其中一家被破解的商店购物时,将姓名、地址、信用卡号码、有效期和CVV等数据泄露给犯罪分子。
这种类型的供应链的攻击在这种情况下,成千上万的商店正在加载修改过的代码,其回报率要比单个目标商店高得多。
防弹注册商和Magecart
我们花了一些时间挖掘通过众所周知的中文注册商Bizcn / Cnobin注册的一些Magecart域名。类似于我们的研究乌克兰东部的防弹主人,我们研究了该提供商如何基本上是防弹注册商。Bizcn上的以前的活动包括Rogue Canadian药房网站此外利用套件活动标记为“afraid”。
我们将域缩小到较小的子集以前确定了Magecart Group 5使用的。威胁参与者注册了域Informaer.在八个不同的顶级域名(TLD.)使用隐私保护服务(请参阅IOC用于完整列表)。但是,他们可能已经忘记申请与InformAer.Info相同,这揭示了以下内容:
域名:InformAer.Info
注册网址:http://www.bizcn.com
更新日期:2017-02-27T08:35:38Z
创建日期:2017-02-21T12:48:51Z
注册截止日期:2018-02-21T12:48:51Z
注册商:Bizcn.com,Inc。
注册人姓名:郭堂
注册人组织:新鑫公司
注册人街:大中西13
注册人城市:北京
注册人州/省:海淀
注册人邮政编码:101402
注册人国家/地区:CN
注册人电话:+86.1066569215
注册人传真:+ 86.1066549216
注册人电子邮件:guotang323@yahoo.com
连接Dridex恶意软件和卡巴纳克集团
如果我们以这个电子邮件地址为中心,我们就可以识别其他域名,特别是几个与Dridex钓鱼活动有关的域名。
Dridex.是一款强大的银行木制特洛伊干草,已经存在多年。至今,使用假发票,它继续通过恶意垃圾邮件广告系列分发。
仔细观察Guotang323@yahoo.com电子邮件地址,我们可以看到它用于注册到以下Dridex网络钓鱼活动的域:
- corporatefaxsolutions.com(企业efax竞选目标德国人)
- OneNewPost.com(OnePosting Phish推动Dridex)
- xeronet.org (Xero Phish推动Dridex)
卡尔巴坦是一个复杂的威胁小组定位银行,并使用相同名称的后门进行间谍和数据exfiltation。在2017年博客帖子瑞士证书介绍了Dridex用于提供Carbanak恶意软件的网络钓鱼活动。
在2016年的事件响应中,我们发现Dridex是最初的感染载体,它通过恶意Office Word文档到达了受害者的邮箱,并发现了一种名为Carbanak的复杂恶意软件的安装,攻击者利用它进行横向移动并进行实际欺诈。
一种图表瑞士CERT还展示了Dridex装载机如何对受害者进行分类,为消费者或低利率目标提供合适的Dridex,或为公司和高价值目标提供Carbanak。
来自InformAer.Info注册人详细信息的另一个有趣的数据点是电话号码。(+86.1066569215)是由Brian Krebs提到的博客帖子检查俄罗斯安全公司与Carbanak集团之间的联系。
展望未来
随着Magecart活动的增加和新的团体的出现,有时回过头去检查可能已经落下的面包屑是有帮助的。
受害者也有助于我们更好地了解攻击背后的威胁演员。例如,我们看到许多妥协,这些妥协影响可能与更复杂的犯罪分子绑定的商家的小子,通常使用简单的撇渣器或套件。
相比之下,我们认为,更大的窃取更大利益的入侵是由在该领域有经验的高级威胁组织实施的,这些组织与地下犯罪组织有着牢固的联系。
妥协指标
Magecart Group 5个域名
informa(。)商业
Informaer [。] CC
informa。com
informa(。)
Informaer [。]组织
informa(。)pw
Informaer [。] WS
informa(。)xyz
informa(。)信息
注册人信息
guotang323@yahoo.com
+86.1066569215
Dridex网络钓鱼活动中使用的域名
COMPORATEFAXSOLURINGS [。] COM
onenewpost。com
Xeronet [。]组织
评论