日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
UltraRank黑客發(fā)起的新型攻擊

2020年8月,Group-IB發(fā)布了一份名為《UltraRank: the unexpected twist of a JS-sniffer triple threat 》的報告。該報告描述了網(wǎng)絡(luò)犯罪集團UltraRank的活動,該集團在5年的活動中成功攻擊了691家電子商務(wù)商店和13家網(wǎng)站服務(wù)提供商。

2020年11月,Group-IB專家發(fā)現(xiàn)了新一輪的UltraRank攻擊。盡管當(dāng)時發(fā)現(xiàn)了新的攻擊,但該組織的部分基礎(chǔ)設(shè)施仍處于活躍狀態(tài),一些網(wǎng)站仍受到感染。網(wǎng)絡(luò)犯罪分子并沒有使用現(xiàn)有的域名進行新的攻擊,而是切換到新的基礎(chǔ)設(shè)施來存儲惡意代碼并收集被攔截的支付數(shù)據(jù)。

作為UltraRank新活動的一部分,Group-IB威脅情報和分析團隊發(fā)現(xiàn)了12個被JavaScript嗅探器感染的電子商務(wù)網(wǎng)站,他們中的八個在發(fā)布之時仍然受到感染。

這次,使用Radix模糊處理對JS嗅探器的代碼進行模糊處理。這種模糊模式只有少數(shù)網(wǎng)絡(luò)犯罪集團使用過,其中一個是UltraRank組(圖1)。在對代碼進行模糊處理后,Group-IB發(fā)現(xiàn)攻擊使用了SnifLite系列的嗅探器,該嗅探器已為Group-IB專家所熟知,并且被攻擊者UltraRank使用。由于受感染網(wǎng)站的數(shù)量相對較少,攻擊者最有可能使用了CMS管理面板中的憑據(jù),而這些憑證反過來又可能被惡意軟件或暴力破解攻擊破壞。

在最近的一系列攻擊中,UltraRank模仿合法的谷歌標(biāo)簽管理器域?qū)阂獯a存儲在網(wǎng)站上。對攻擊者基礎(chǔ)設(shè)施的分析顯示,主服務(wù)器由Media Land LLC托管。

本文研究了UltraRank的新活動,為銀行、支付系統(tǒng)和在線商戶提供推薦。你還可以根據(jù)我們建議用來防止UltraRank的MITER ATT&CK和MITER Shield找到威脅,攻擊者的TTP以及相關(guān)的緩解和防御技術(shù)的指標(biāo)。

被模糊的嗅探器代碼片段

JS 嗅探器代碼分析

從至少2019年1月開始,UltraRank就開始使用SnifLite JS嗅探器系列,當(dāng)時它被用于攻擊廣告網(wǎng)絡(luò)Adverline。惡意代碼通過位于hXXp://googletagsmanager網(wǎng)站上的一個JS文件鏈接上傳到受感染的網(wǎng)站。該域名偽裝成谷歌標(biāo)簽管理器googletagmanager.com的合法域名。攻擊者網(wǎng)站hXXp://googletagsmanager[.]co/也被用來收集截獲的支付卡數(shù)據(jù)作為嗅探器(圖2)。

經(jīng)過模糊處理的JS嗅探器代碼的片段,并帶有到嗅探器的鏈接以收集被攔截的卡

圖3中顯示了負責(zé)攔截SnifLite嗅探器系列中的付款信息的函數(shù),數(shù)據(jù)收集算法基于該函數(shù)querySelectorAll,就像該組織之前使用的FakeLogistics和WebRank 嗅探器系列一樣。收集數(shù)據(jù)后,會將數(shù)據(jù)寫入名為google.verify.cache.001的對象的本地存儲中。

JS嗅探器代碼片段,包含一個負責(zé)收集支付卡數(shù)據(jù)的函數(shù)

只有當(dāng)用戶所在頁面的當(dāng)前地址包含以下關(guān)鍵字之一(圖4)時,才會收集和發(fā)送數(shù)據(jù):

  • onepage
  • checkout
  • store
  • cart
  • pay
  • panier
  • kasse
  • order
  • billing
  • purchase
  • basket

在發(fā)送被攔截的支付卡之前,其數(shù)據(jù)將從本地存儲的_google.verify.cache.001對象中提取,并通過發(fā)送HTTP GET請求傳輸給攻擊者。

JS嗅探器代碼片段,其功能是將收集到的數(shù)據(jù)發(fā)送到攻擊者的服務(wù)器

在UltraRank對感染病毒的進一步分析過程中,Group-IB團隊發(fā)現(xiàn)了一個沒有進行模糊的JS嗅探器樣本,該樣本與之前在一個攻擊者的網(wǎng)站上發(fā)現(xiàn)的樣本相同,該網(wǎng)站將UltraRank與新攻擊相關(guān)聯(lián)。

基礎(chǔ)設(shè)施分析

在分析嗅探器基礎(chǔ)設(shè)施時,發(fā)現(xiàn)了一個標(biāo)準(zhǔn)的PHP腳本,這是UltraRank所有網(wǎng)站的典型特征。除了發(fā)送的請求和服務(wù)器的常見信息之外,該腳本還顯示了服務(wù)器的真實IP地址。在分析時,googletagsmanager[.]co域的IP地址為8.208.16[.]230 (AS45102, Alibaba (US) Technology Co., Ltd.)。同時,真實服務(wù)器地址是Media Land LLC(AS206728)擁有的45.141.84[.]239(圖5)。根據(jù)布萊恩·克雷布斯(Brian Krebs)發(fā)布的一篇文章,Media Land LLC與一家地下論壇用戶運營的防彈托管公司聯(lián)系,該論壇用戶的昵稱為Yalishanda,它為攻擊者提供服務(wù)。據(jù)推測,Yalishanda的服務(wù)使用從包括阿里巴巴在內(nèi)的各種供應(yīng)商那里租來的云服務(wù)器來托管部分攻擊者的基礎(chǔ)設(shè)施。

除了服務(wù)器IP地址外,腳本輸出還指定網(wǎng)站文件在服務(wù)器hXXp://googletagsmanager[.]co/: worker.上的目錄。

腳本輸出,其中包含有關(guān)googletagsmanager.co域所在服務(wù)器的信息

IP地址 45.141.84[.]239也鏈接到網(wǎng)站hXXp://s-panel[.]su/。在分析過程中,再次在UltraRank基礎(chǔ)結(jié)構(gòu)的所有網(wǎng)站上找到了相同的腳本(圖6)。在這種情況下,所有網(wǎng)站文件所在的目錄稱為面板(panel)。

腳本輸出,其中包含有關(guān)域s-panel.su所在服務(wù)器的信息

除公用服務(wù)器外,Group-IB的Graph Network Analysis系統(tǒng)還檢測到SSL證書50e15969b10d40388bffbb87f56dd83df14576af。該證書位于googletagsmanager.co域和IP地址為45.141.84[.]239的服務(wù)器上,該服務(wù)器與s-panel[.]su 域相關(guān)聯(lián)(圖7)。

來自Group-IB威脅情報和分析系統(tǒng)的證書鏈接圖50e15969b10d40388bffbb87f56dd83df14576af

通過對網(wǎng)站hXXp://s-panel[.]su/的進一步分析,發(fā)現(xiàn)了登錄表單。據(jù)推測,該網(wǎng)站被攻擊者用作嗅探器控制面板,所有被盜的支付卡數(shù)據(jù)都收集在面板中,以用于隨后的滲透和傳播。

在網(wǎng)站s-panel.su上找到的登錄表單

研究人員還發(fā)現(xiàn)了googletagsmanager[.]info域,2020年9月,此域的IP地址與googletagsmanager[.]co (8.208.96.88)相同。但是,在撰寫本文時,該網(wǎng)站處于非活動狀態(tài),未發(fā)現(xiàn)使用該網(wǎng)站的電子商務(wù)感染案例。

攻擊指標(biāo)

 
 
 
 
    
  
  
  
  
  1. googletagsmanager[.]co  
    2.   
  
  
  
  2.  googletagsmanager[.]info  
    3.   
  
  
  
  3.  s-panel[.]su 
    4.

緩解建議

到目前為止,Group-IB的專家已經(jīng)研究了96種不同的JS嗅探器系列。使用惡意JavaScript對電子商務(wù)商店的攻擊正成為一種越來越流行的獲取大量用戶付款信息以進行后續(xù)傳播的方式。由于UltraRank通過黑客入侵第三方提供商Inbenta在Ticketmaster網(wǎng)站上安裝了惡意代碼,導(dǎo)致用戶付款數(shù)據(jù)泄露。 Ticketmaster為此被罰款125萬英鎊。此外,英國航空公司因其網(wǎng)站和移動應(yīng)用程序使用的一個JavaScript庫中注入的惡意代碼導(dǎo)致的數(shù)據(jù)泄漏而被罰款2000萬英鎊。因此,JS嗅探器的攻擊不僅與電子商務(wù)商店的所有者有關(guān),而且與所有在線使用和處理銀行卡付款的服務(wù)有關(guān)。Group-IB的專家們匯編了一系列建議,這些建議將幫助各種電子商務(wù)參與者最大程度地減少潛在攻擊,防止感染或檢測現(xiàn)有的惡意活動。

對于銀行來說

  • 使用支付卡時,通知用戶在線支付過程中可能出現(xiàn)的風(fēng)險。
  • 如果與你的銀行有關(guān)的支付卡已被盜用,請阻止這些卡并通知用戶電子商務(wù)商店已感染了支付卡嗅探器。

對于電子商務(wù)網(wǎng)站管理員來說

  • 使用復(fù)雜且唯一的密碼來訪問網(wǎng)站的管理面板和用于管理的任何服務(wù),例如phpMyAdmin,Adminer。如果可能,請設(shè)置雙因素身份驗證。
  • 安裝所用軟件的所有必要更新,包括網(wǎng)站的CMS。請勿使用過時或不受支持的CMS版本。這將有助于減少服務(wù)器受到威脅的風(fēng)險,并使攻擊者更難以下載Web Shell和安裝惡意代碼。
  • 定期檢查商店中是否存在惡意軟件,并定期對你的網(wǎng)站進行安全審核。例如,對于基于CMS Magento的網(wǎng)站,你可以使用Magento安全掃描工具。
  • 使用適當(dāng)?shù)南到y(tǒng)記錄網(wǎng)站上發(fā)生的所有更改,以及記錄對網(wǎng)站的控制面板和數(shù)據(jù)庫的訪問并跟蹤文件更改日期。這將幫助你檢測到感染了惡意代碼的網(wǎng)站文件,并跟蹤對網(wǎng)站或Web服務(wù)器的未經(jīng)授權(quán)的訪問。

對于支付系統(tǒng)/支付處理銀行來說

  • 如果你為電子商務(wù)網(wǎng)站提供付款服務(wù),請在接受網(wǎng)站上的在線付款時定期通知客戶有關(guān)基本安全技術(shù)的信息,以及JavaScript嗅探器的威脅;
  • 確保你的服務(wù)使用正確配置的內(nèi)容安全策略;

本文翻譯自:https://www.group-ib.com/blog/ultrarank


新聞名稱:UltraRank黑客發(fā)起的新型攻擊
標(biāo)題鏈接:http://www.5511xx.com/article/cojcgoj.html