网络安全公司Sansec的新研究表明,朝鲜黑客组织LazarusAPT一直在窃取美国和欧洲大型零售商的支付卡信息,因为他们破坏了合法网站并使用电子撇渣器窃取信用卡数据。为了避免在泄露支付卡数据时被发现,朝鲜黑客还注册了类似于受害者商店的域名。这种策略在Magecart式攻击中非常常见:威胁参与者依赖恶意脚本(网络浏览器)从结账页面复制敏感信息。如今,从在线商店的客户那里窃取信用卡信息的威胁越来越大。在调查支付卡盗窃案时,Sansec研究人员发现恶意代码是从涉及LazarusAPT的网络钓鱼域加载的,并且与攻击中使用的电子分隔符代码共享相同的代码库。受害者名单包括数十家商店,包括配饰巨头Claire、WongsJewelers、FocusCamera、CBDArmor、Microbattery和Realchems。多家网络安全公司已将渗透域与朝鲜网络攻击联系起来,下图显示了渗透节点(红色)(绿色),朝鲜黑客从受害者那里收集支付卡信息。com(鱼叉式钓鱼操作1、2)net(恶意垃圾邮件1、2)areac-agr.com(DaclsRAT的下载服务器)com(与areac-agr.com共享IP,在Dacls示例中进行硬编码)”以便开展业务为了获利,HIDDENCOBRA开发了一个全球渗透网络。该网络可以利用被劫持的合法网站,并将其重新用于伪装成犯罪活动。”研究人员发布的报告称,“该网络还可以对被盗资产进行编目,以便在暗网市场上出售。Sansec已经识别出许多这样的渗透节点。最初,渗透节点是Lux的网站ModelAgency,但恶意软件在24小时内消失,并在一周后再次出现在同一家商店。因此,米兰的一家模特经纪公司、德黑兰的一家古董音乐商店和新泽西的一家家庭书店都遭受了损失,在接下来的几个月里,同样的恶意脚本使用以下被劫持的网站加载和收集被盗的信用卡,从而被感染数十家商店:com(2019-07-19至2019-08-10之间)com(2019-07-06至2019-07-09之间)net(2019-05-30至2019-11-26之间)areac-agr.com(2019-05-30至2020-05-01之间)com(2019-06-23至2020-04-07之间)com(2019-07-01至2020-05-24之间)注册一个与受害者商店相似的域名是黑客组织LazarusAPT用来产生结果的另一种策略。在2020年2月至2020年3月的另一场活动中,黑客注册的域名很容易与Claire's、FocusCamera和PaperSource混淆。Sansec发现,所有三个品牌的网站都受到了支付窃取恶意软件的破坏,这些恶意软件加载脚本并收集虚假域上的数据。除了域名注册商和DNS服务外,他们还共享一个“奇怪的代码段”,经查明是同一人操作的。Sansec研究人员得出结论,不排除这些攻击是由与朝鲜无关的其他攻击者实施的,但他们控制一组被劫持网站的可能性极小。因此,朝鲜至少从2019年5月开始就一直在进行大规模的盗窃袭击,以此作为赚钱的手段。
