2020年8月,Group-IB发布了一份名为《UltraRank: the unexpected twist of a JS-sniffer triple threat 》的报告。该报告描述了网络犯罪组织UltraRank的活动,该组织在为期5年的活动中成功攻击了691家电子商务商店和13家网站服务提供商。2020年11月,Group-IB专家发现了新一波UltraRank攻击。尽管当时发现了新的攻击,但该组织的部分基础设施仍然活跃,一些网站仍然受到感染。网络犯罪分子没有使用现有域进行新的攻击,而是转向新的基础设施来存储恶意代码并收集截获的支付数据。作为UltraRank新活动的一部分,Group-IB威胁情报和分析团队发现了12个被JavaScript嗅探器感染的电子商务网站,其中8个网站在发布时仍然受到感染。这次JS嗅探器的代码使用Radix混淆进行了混淆。这种混淆模式仅被少数网络犯罪集团使用,其中之一是UltraRank集团(图1)。混淆代码后,Group-IB发现该攻击使用了SnifLite家族的嗅探器,Group-IB专家已经知道该嗅探器并被攻击者UltraRank使用。由于受感染的网站数量相对较少,攻击者很可能使用了来自CMS管理面板的凭据,而这些凭据又可能被恶意软件或暴力攻击所破坏。在最近的一系列攻击中,UltraRank模仿合法的GoogleTagManager域在网站上存储恶意代码。对攻击者基础设施的分析表明,主服务器由MediaLandLLC托管。本文研究了UltraRank为银行、支付系统和在线商家提供建议的新活动。您还可以找到基于MITREATT&CK和MITREShield的威胁指标、攻击者TTP以及相关的缓解和防御技术,我们建议将其用于UltraRank。混淆嗅探器代码片段JS嗅探器代码分析UltraRank至少从2019年1月开始使用SnifLiteJS嗅探器系列,当时它被用来攻击广告网络Adverline。恶意代码通过指向位于hXXp://googletagsmanager网站上的JS文件的链接上传到受感染的网站。该域伪装成Google跟踪代码管理器googletagmanager.com的合法域。攻击者网站hXXp://googletagsmanager[.]co/也被用来作为嗅探器收集截获的支付卡数据(图2)。混淆后的JS嗅探器代码片段,带有嗅探器的链接,用于收集拦截的卡片SnifLite系列嗅探器中负责拦截支付信息的函数如图3所示,数据收集算法基于函数querySelectorAll,如该组织之前使用的FakeLogistics和WebRank系列嗅探器。收集数据后,会将其写入名为google.verify.cache.001的对象中的本地存储。JS嗅探器代码片段包含一个负责收集支付卡数据的功能只有当用户所在页面的当前地址包含以下关键字之一时才会收集和发送数据(图4):onepagecheckoutstorecartpaypanierkasseBeforeorderbillingpurchasebasket发送截获的支付卡,其数据将从本地存储的_google.verify.cache.001对象中提取,并通过发送HTTPGET请求传输给攻击者。一个JS嗅探器代码片段,其功能是将收集到的数据发送到攻击者的服务器样本与之前在攻击者网站上发现的样本相同,将UltraRank与新攻击相关联。基础设施分析在分析嗅探器基础设施时,发现了一个标准的PHP脚本,这是所有UltraRank网站的典型特征。除了发送的请求和有关服务器的一般信息外,该脚本还显示了服务器的真实IP地址。分析时,googletagsmanager[.]co域的IP地址为8.208.16[.]230(AS45102,阿里巴巴(美国)科技有限公司)。同时,真实服务器地址是MediaLandLLC(AS206728)拥有的45.141.84[.]239(图5)。根据BrianKrebs发表的一篇文章,MediaLandLLC联系了一家由昵称为Yalishanda的地下论坛用户经营的防弹托管公司,该公司为攻击者提供服务。据推测,Yalishanda的服务使用从包括阿里巴巴在内的多家供应商租用的云服务器来托管部分攻击者的基础设施。除了服务器IP地址之外,脚本输出还指定了网站文件在服务器hXXp://googletagsmanager[.]co/:worker上的目录。脚本的输出包含有关googletagsmanager.co域驻留在IP地址45.141.84[.]239的服务器的信息,还链接到网站hXXp://s-panel[.]su/。在分析过程中,在UltraRank基础设施的所有网站上再次发现了相同的脚本(图6)。在这种情况下,所有网站文件所在的目录称为面板。脚本输出,其中包含有关托管域s-panel.su的服务器的信息除了公共服务器之外,Group-IB的图形网络分析系统还检测到SSL证书50e15969b10d40388bffbb87f56dd83df14576af。该证书位于googletagsmanager.co域和IP地址为45.141.84[.]239的服务器上,该服务器与s-panel[.]su域相关联(图7)。图50e15969b10d40388bffbb87f56dd83df14576af来自Group-IB威胁情报和分析系统的证书链接对网站hXXp://s-panel[.]su/的进一步分析揭示了登录表单。据推测,该网站被攻击者用作嗅探器控制面板,其中收集了所有被盗的支付卡数据以供后续渗透和分发。在s-panel.su网站上找到的登录表单研究人员还发现了googletagsmanager[.]info域,该域在2020年9月与googletagsmanager[.]co(8.208.96.88)具有相同的IP地址。但是,在写作时,该网站处于非活动状态,并且没有发现使用该网站的电子商务感染案例。攻击指标googletagsmanager[.]cogoogletagsmanager[.]infos-panel[.]su缓解建议到目前为止,Group-IB的专家已经研究了96个不同的JS嗅探器系列。使用恶意JavaScript攻击电商店铺正成为一种越来越流行的获取大量用户支付信息进行后续传播的方式。由于UltraRank通过入侵第三方提供商Inbenta在Ticketmaster网站上安装恶意代码,用户支付数据被泄露。Ticketmaster为此被罚款125万英镑。此外,英国航空公司因数据泄露而被罚款2000万英镑,原因是恶意代码被注入到其网站和移动应用程序使用的JavaScript库中。因此,JS嗅探器攻击不仅与电商店主有关,而且与所有使用和处理在线银行卡支付的服务有关。Group-IB的专家编制了一系列建议,这些建议将帮助各种电子商务参与者最大限度地减少潜在攻击、防止感染或检测现有的恶意活动。对银行而言,在使用支付卡时,告知用户网上支付过程中可能存在的风险。如果与您的银行关联的支付卡已被盗用,请阻止它们并通知用户电子商务商店已感染支付卡嗅探器。对于电子商务网站管理员,使用复杂且唯一的密码来访问网站的管理面板和用于管理的任何服务,例如phpMyAdmin、Adminer。如果可能,请设置双因素身份验证。安装所用软件的所有必要更新,包括网站的CMS。不要使用过时或不受支持的CMS版本。这将有助于降低您的服务器受到威胁的风险,并使攻击者更难下载Webshell和安装恶意代码。定期检查您的商店是否存在恶意软件,并对您的网站进行定期安全审核。例如,对于基于CMSMagento的网站,您可以使用MagentoSecurityScannerTool。使用适当的系统记录网站上发生的所有更改,以及记录对网站控制面板和数据库的访问,并跟踪文件更改日期。这将帮助您检测感染了恶意代码的网站文件并跟踪对网站或网络服务器的未授权访问。对于支付系统/支付处理银行如果您为电子商务网站提供支付服务,请定期告知客户在您的网站上接受在线支付时的基本安全技术,以及JavaScript嗅探器的威胁;保护您的服务使用正确配置的内容安全策略;本文翻译自:https://www.group-ib.com/blog/ultrarank
