这个博客帖子是JérômeSegura撰写的
在过去的几年里,网上购物持续快速增长。最近调查由qubit完成70.7%的购物者表示,与新冠肺炎之前相比,他们增加了网上购物频率。
犯罪分子被机会所吸引,这些趋势使得像Magecart这样的数字窃取攻击更加有利可图。
为了保护我们的客户,我们需要不断留意新的攻击。话虽如此,我们有时也需要检查过去的情况。事实上,许多威胁参与者将重用某些模式或资源,使我们能够与以前的事件建立联系。
一个Magecart小组在撇脂活动中留下了大量面包屑,被记录在不同的名字下(group 8, CoffeMokko, Keeper, FBseo)。它被认为是数字略读领域最古老的威胁之一。
在这篇博客文章中,我们发布了他们的基础设施使用中的一些连接,我们通过交叉引用几个数据源发现了这些连接。
与Magecart集团8重新连接
在一个最近的文章RiskiQ研究人员解开了Magecart Group 8所使用的大部分基础设施,以及它们如何随时间迁移到特定流程和OVH的不同主机。
我们一直在看第8组,但从不同的角度开始。回到六月我们正在检查Skimmer代码,看起来与我们可以分类的任何东西不同。直到7月Eric Brandel,我们直到埃里克布兰克鸣叫关于他称之为“checkcheck”的撇渣器,它正在使用一些有趣的新功能,并且基本上是我们发现的相同的事情。
经过一些额外的研究,我们注意到代码的某些部分是独一无二的,但不是新的。特别是,信用卡数据的抗射线正在使用a字符串交换功能和“CoffeMokkoGroup-IB描述的家庭。在他们的博客中,他们提到了与最初的Group 1 (RiskIQ)的一些重叠,后者最终被合并为现在的Group 8。
从那里,我们重新认识了一个我们有一段时间没有见到但一直很忙的威胁组织。有一些域名对我们来说是新的。我们很快就掉进了一个兔子洞,失去了对大局的把握。然而,RiskIQ的博客帮助我们对我们称之为Flowspec - OVH的基础设施的一部分提出了一些看法。
RiskIQ已经覆盖了大多数域和IP地址。然而,我们要创建一些地图,显示过去著名战役之间有趣的历史联系。在第1部分中,我们将探讨这些链接。
在向Eric Brandel报告我们的“checkcheck”发现时,我们还发现了基础架构的另一个大部分。然后八月份,丹尼斯鸣叫有趣的是,有些领域已经很老了,但却在很长一段时间内保持低水平。我们将在第2部分中回顾这些内容。
第1部分:Flowspec和OVH
的RiskIQ文章详细描述了基础结构的这一部分。我们将回顾一些连接点,这些连接点使我们能够重新发现旧的活动。Flowspec是一个已知防弹托管服务它不仅被用于过滤,还被用于网络钓鱼、勒索软件和其他恶意软件。
[1]领域safeprocessor。com托管在103年176.121.14(。)(Flowspec)和184年178.33.231(。)(OVH)。这是上市在双子座咨询公司的妥协指标(IOCs)中“Keeper”Magecart集团感染570个网站博客文章。在同一OVH IP上是域foodandcot[.]com在IB组的IOCs部分中列出来看看js - sniffer 4: CoffeMokko家族.
[2]scriptopia。净也在176.121.14[。103 (Flowspec)232年178.33.71(。)(OVH)。域名是发现了Dmitry Bestuzhev在其网站上发布了一款智利葡萄酒。该IP上的其他域名也同样如此抓住了隆美尔。
[3]mirasvit。净与scriptopia[.]net共享同一个注册人。它是在194.87.144。10和143年176.121.14(。)(Flowspec)。那个IP地址在丹尼斯的雷达上推特主要由RiskIQ负责。
[4]shourve。com与位于178.33.71[.]232的其他skimmer域共享同一注册人。它是在5.135.247 [。] 142. 在同一个IP上adaptivestyles。com与scriptopia共享同一个注册人[。净,fileskeeper [。]组织从哪个Gemini咨询派生他们的博客文章的名称。
[5]stairany。com托管在5.135.247 [。] 141(OVH)出现在报告CSIS集团。该IP地址上的另一个域是clipboardplugin[.]com,它是提及通过Félix Aimé,并附上了一个卡片网站的截图。
[6]csjquery[.]com与stairany[.]com共享同一注册人,托管地址为169.239.129 [] 35(ZAPPIE-HOST)。在IP上有数百个梳理站点。
[7]zoplm。com托管在37.59.47[.]208(OVH)和51.83.209 [。] 11(OVH)共享同一注册人cigarpaqe。com和fleldsupply。com提及在我们的博客使用homogyph域。
[8]176.121.14[.]189(Flowspec)被RiskIQ所覆盖,因为它的skimmer域名数量后来转移到Velia.net托管。
第2部分:ICME和Crex Fex Pex
这部分基础架构很有趣,因为它与我们从jquery[.]su等领域看到的活动相关联。这实际上是起点我们的调查,最终导致了第1部分:Flowspec和OVH回到第八组。
Crex Fex Pex (Крекс-фекс-пекс)是指a俄罗斯玩有个像匹诺曹的角色然而,在我们的情况下,它是一个防弹宿主,已经看到了显著的撇脂活动。
[1]gstaticx [。] com托管在166年217.8.117(。)(CREX FEX PEX)和185.246.130 [。] 169(ICME)。我们可以看到最近的妥协这里,特别是略读器(使用该字符交换功能)这里.
[2]谷歌网页托管在141年217.8.117(。)(CREX FEX PEX)共享与GSTICX的相同注册人[。] COM。有趣的是,这个撇渣器的一个版本googletagnamager com/ki/x19.js。从加载的JavaScriptjquery [。] su.
我们可以在jquery。苏/ ki / x2.js它也引用相同的min-1.12.4.js脚本。可以看到这个脚本的一个版本这里(捕获).
[3]领域jquery [。] su注册了亚历山大。colmakov2017@yandex[.]ru.注册时使用了相同的电子邮件地址serversoftwarebase。com哪个连接到针对各种CMS的暴力攻击.在那篇博文中,我们提到了googletagmanager[。[。]它与a有关反对MySQL / admin。
[4]googletagmanages。com拥有与googletagnamager[.]com相同的注册用户。与我们目前看到的其他域名不同,这个是在亚马逊上。查看托管它的IP地址(AS14618-Amazon),我们发现了数百个拼写错误域名用于略读(参见IOCs部分的列表)。似乎大多数都没有被使用,也许只是为了雨天而保存。
数字略读工件
在检查这个基础结构时,我们遇到了一些与web浏览活动相关的工件,包括webshell、面板和其他工具。有了这样一个庞大的网络,不难想象,罪犯自己也很难追踪他们所拥有的一切。
跟踪数字掠食器是一项耗时的工作,人们可能很容易在噪音中迷失方向。罪犯们不断地安装新的服务器,并四处移动。此外,在防弹服务的帮助下,他们很难破坏其基础设施。
然而我们许多研究人员定期发布有助于识别和屏蔽新域名和IP地址的信息。我们还与执法部门合作,并报告了许多此类文物,特别是被盗的客户数据。最后,我们也会通知商家,尽管很多商家仍然没有意识到这个威胁,也没有适当的联系方式。
必威平台APP由于我们的消费者和企业产品中提供了网络保护模块,Malwarebytes客户可以免受数字浏览器的侵害。
妥协指标(IOCs)
除油船域
adaptivestyles。com
AgilityScript[.]com
amazonawscdn。com
安度安苏里
ankese。com
assetstorage。净
bootstrapmag。com
braincdn。org
cdncontainer。com
cdnforplugins[.]com
chatajax [。] com
cigarpaqe。com
clipboardplugin。com
csjquery[.]com
devlibscdn。com
fileskeeper [。]组织
fleldsupply。com
foodandcot[.]com
FreshChat [。]信息
freshdepor。com
frocklay[.]com
google-adware。com
hottrackcdn。com
hqassets。com
jquery-apl。com
jqueryalert。com
jqueryapiscript[.]com
净资产[.]美元
jsvault[.]网
mage-checkout。org
magento-info。com
magento-stores。com
magento-updater。com
mechat。信息
mirasvit。净
panelsaveok。com
paypaypay [。]组织
PayProcessor [。]网
推进器
safeprocessor。com
sagecdn。org
赛内斯特公司
scriptdesire。com
scriptopia。净
secure4d。净
安全magento[.]com
担保付款[.]su
证券公司
seoagregator[.]com
ShopperBayCDN[.]com
shourve。com
slickjs。org
speedtransaction。com
SpotForAssets [。] com
stairany。com
swappastore。com
theresevit。com
下划线fw[.]com
v2-zopim。com
verywellfitnesse[.]com
w3schooli。com
webadstracker。com
webscriptcdn。com
winqsupply [。] com
wordpress脚本[.]com
zoplm。com
adwords-track。com
adwords曲目[.]顶部
最好的
cdn-secure。净
单击链接api[。]com
drhorveys。com
drnarveys。com
faviconx[.]com
font-staticx。com
fonts-googleapi。com
fontsctatic[.]com
fontsctaticx [。] com
fontsgoooglestatic。com
fontstatics。com
fontstaticx。com
frontstatics[.]com
g-staticx[.]com
ga-track。com
gctatic。com
gctatics。com
谷歌tagmanager[.]com
googleatagmanager。com
googlestag。com
googlestaticx。com
googlestatix。com
googletagmahager[.]com
googletagmamager。com
googletagmanagen。com
googletagmanages。com
谷歌网页
googletaqmanager[.]com
googletaqmanaqer [。] com
gstaticx [。] com
gstaticxs [。] com
hs-scrlpts [。] com
jquery-statistika。信息
jquery [。] su
scaraabresearch [。] com
staticzd-assets。com
v2zopim [。] com
validcvv。俄罗斯
相关的IP地址
169。239。129 []35
176[.]121[.]14[.]103
14 176[121年][][]143
14 176[121年][][]189
178 [。] 33 [。] 231 [。] 184
178 [。] 33 [。] 71 [。] 232
194[87年][]144 []10
37[.]59[.]47[.]208
135[][] 247[141年]
135[][] 247[142年]
51[.]83[.]209[.]11
54 [。] 38 [。] 49 [。] 244
185[209年][]161[143年]
185 [。] 246 [。] 130 [。] 169
193 [。] 105 [。] 134 [。] 147
217[.]8[.]117[.]140
217[.]8[.]117[.]141
217 [] 117 [] [] 166
44 188 [] [] [] 32
74[119年][]239[234年]
76[.]119[.]1[.]112
91 [。] 215 [。] 152 [。] 133
typosquat.
googheusercontent。com
googlatagmanager[.]com
googlausercontent[.]com
谷歌5sercontent[.]com
googleafalytics。com
googleanadytics[.]com
googleanahytics[.]com
谷歌分析网站
googleanalxtics。com
googleanaly4ics。com
googleanalydics [。] com
googleanalypics。com
googleanalytacs[.]com
谷歌分析网站
googleanalytibs。com
googleanalyticc。com
googleanalyticr。com
googleanalyticw [] com
googleanalytigs。com
googleanalytiks。com
googleanalytkcs。com
googleanalytmcs [。] com
googleanalytycs。com
googleanalyuics。com
谷歌分析网站
googleanamytics [。] com
googleananytics。com
googleanclytics。com
googleanelytics。com
googleanilytics。com
googleanqlytics。com
googleaoalytics。com
googlecnalytics。com
googledagmanager。com
googleenalytics。com
谷歌内容[.]com
googleinalytics。com
googlepagmanager。com
googleqnalytics。com
googleqsercontent[.]com
googletacmanager。com
googletaemanager[.]com
googletag-anager [。] com
googlearageanager [。] com
googleTagianager [。] com
googlefleaglanager [。] com
googletagmafager。com
googletagmajager[.]com
googletagmalager[.]com
googletagmanacer。com
googletagmanaeer[.]com
googletagmanafer。com
谷歌Tagmanagar[.]com
googlefleagmanagdr [。] com
googletagmanage2[.]com
googletagmanageb[.]com
googletagmanagep。com
googletagmanages。com
googletagmanagev[.]com
googletagmanagez[.]com
googletagmanaggr[.]com
googletagmanagmr[.]com
googletagmanagur。com
googletagmanaoer。com
googletagmanawer。com
googletagmancger。com
googletagmaneger[.]com
googletagmaniger。com
googletagmanqger。com
googlefleagmaoager [。] com
googletagmcnager。com
googletagminager。com
googletagmqnager[.]com
googletagoanager[.]com
googletaomanager [。] com
googlelyawmanager [。] com
googletcgmanager。com
googletigmanager。com
googletqgmanager[.]com
谷歌内容[.]com
googleu3ercontent。com
GoogleUagManager [。] com
googleucercontent。com
googleuqercontent[.]com
googleurercontent[.]com
googleusarcontent。com
googleusdrcontent。com
googleuse2content[.]com
googleusebcontent。com
googleusepcontent[.]com
googleuseraontent。com
GoogleUserBontent [。] com
googleusercgntent。com
googleuserckntent。com
googleusercmntent。com
googleusercnntent [。] com
googleusercoftent。com
googleusercojtent。com
googleusercoltent。com
googleusercon4ent。com
googleusercondent。com
googleuserconpent。com
GoogleUserContant [。] Com
googleusercontdnt[.]com
googleuserconteft。com
googleusercontejt[.]com
googleusercontelt。com
googleuserconten4。com
googleusercontend。com
googleusercontenp。com
googleusercontenu[.]com
googleusercontenv。com
googleuserconteot[.]com
googleusercontgnt。com
googleusercontmnt。com
googleusercontunt。com
谷歌用户界面
googleusescontent。com
googleusgrcontent。com
googleusmrcontent。com
googlevagmanager [。] com
谷歌分析网站
谷歌分析公司
谷歌管理器[.]com
GoogmeanAnalytics[.]com
评论