연구원은 Magecart 그룹 사이의 링크를 확인 4 코발트

Malwarebytes 및 HYAS에서 보안 연구자의 팀 발견 Magecart 그룹에서 사이버 범죄자 사이의 링크 4 코발트 (또한 Carbanak로 알려진, Fin7 및 Anunak).

에이분석에 ccording, 그룹 4 단지 클라이언트의 측면에없는 감추고, 그러나 아마 서버에서 동일한 작업을 수행하기 위해 계속.

Magecart 웹 사이트에 지불 형태로 은행 카드 데이터를 도용하는 스크립트의 구현을 전문으로 사이버 범죄 그룹의 다스 이상을 통합하는 용어입니다. 그들은 Amerisleep 등 회사에 대한 공격에 대한 책임이 있습니다, MyPillow, 티켓 마스터, 영국 항공 (BA), OXO과 뉴에 그.

"그룹 4 가장 "고급"그룹 중 하나입니다. 참가자는 트래픽을 마스크 정교한 방법을 사용, 예를 들면, 분석 기업이나 광고주와 관련된 도메인 이름을 등록하여. 이 그룹은 은행 악성 코드와 경험을 가지고, 뿐만 아니라 "코발트 그룹으로, – Malwarebytes의 전문가에게.

연구진은 다양한 Magecart 그룹을 추적, 인프라의 요소를 보았다, 뿐만 아니라 도메인과 IP 주소 사이의 연결로. 타협의 지표를 바탕으로, 등록 된 도메인, 사용 전략, 방법 및 절차, 연구진은 코발트는 웹 감추고로 전환했을 수도 있다는 결론을 내렸다.

또한 읽기: Echobot 봇넷은 IOT 장치에 대한 대규모 공격을 시작

skimers이의 메일 주소로 등록 다운로드 한있는 도메인 ProtonMail 서비스, 이는 이전에 Magecart에 연결 연구원 RiskIQ. 데이터를 분석 한 후, 전문가들은 다른 등록 문자로이 주소를 연결하고 일반적인 특성을 발견, 특히, 사서함을 만들 때, 템플릿 [이름], [머리 글자], [성] 사용, 이는 최근 ProtonMail 계정에 사용되는 코발트.

그룹을 분석 할 때 4 하부 구조, 연구진은 자바 스크립트 코드를 착각 한 PHP 스크립트를 발견. 소스 코드의이 유형은 서버에 액세스하여 볼 수 있습니다, 스크립트는 서버 측에 독점적으로 상호 작용.

"그것은 어떤 스캐너에 보이지 않는, 모든 해킹 된 서버 자체에서 발생하기 때문에. Magecart의 skimers은 일반적으로 브라우저 측에서 발견되었다, 하지만 서버 측에서 그들은 "감지하기가 훨씬 더 어렵다, – 사이드 연구원 Jeromen 구라.

또한 연구에 관계없이 이메일 서비스의 사용 것을 보여 주었다, 에서 10 별도의 계정, 두 개의 서로 다른 IP 주소가 재사용되었다, 심지어 등록 사이에 몇 주 몇 달 후.

하나 개는 이러한 사서함 petersmelanie @protonmail입니다, 등록에 사용 된 23 도메인, 포함 my1xbet[.]상단. 이 도메인은이 취약점을 악용하는 피싱 캠페인에 사용 된 CVE-2017-0199 마이크로 소프트 오피스의. 같은 메일 계정은 오라클 비즈니스를 등록하는 데 사용 된[.]COM 도메인과 코발트 그룹과 관련이 오라클 공격.

폴리나 리소프스카야

저는 몇 년 동안 마케팅 관리자로 일하고 있으며 흥미로운 주제를 찾는 것을 좋아합니다.

회신을 남겨주

맨 위로 돌아가기 버튼