Исследователи связывают скимминговые атаки на основе Magecart с Cobalt (также известным как Carbanak), чьи кибератаки принесли миллионы долларов.
Исследователи обнаружили связь между атаками веб-скимминга на основе Magecart и сложной киберпреступной группой под названием Cobalt, которая украла сотни миллионов у финансовых учреждений по всему миру. Они также обнаружили свидетельства скимминга на стороне сервера, который труднее обнаружить, чем типичные инъекции JavaScript.
Совместное исследование Malwarebytes и охранной фирмы HYAS выявило существенное сходство между регистрационной информацией для доменных имен, используемых в их инфраструктуре как Cobalt, так и группой, которую до сих пор отслеживали как Magecart Group 4 (MG4). В частности, и Cobalt, и MG4 использовали один и тот же шаблон именования учетных записей электронной почты, одни и те же почтовые службы, одни и те же регистраторы доменов и одни и те же услуги защиты конфиденциальности.
«Учитывая использование услуг по обеспечению конфиденциальности для всех доменов, о которых идет речь, весьма маловероятно , что это соглашение об именах должно быть известно любому другому актеру , чем актеры , которые зарегистрированы как инфраструктуру Cobalt Group и Magecart,» исследователи сказали в докладе, опубликованном Cегодня. «Кроме того, дальнейшее расследование показало, что независимо от используемого провайдера электронной почты, десять из, казалось бы, отдельных учетных записей повторно использовали только два разных IP-адреса, даже в течение недель и месяцев между регистрациями».
Компания HYAS, предоставляющая службы атрибуции, провела поиск в своих наборах данных и нашла конкретный адрес электронной почты, который регистрировал домены Magecart, но также использовался в кампании целевого фишинга по электронной почте с вредоносными документами Word, которые соответствуют принципам работы Cobalt. Тот же адрес также использовался для регистрации доменных имен, которые очень похожи на те, которые использовались Cobalt в прошлом.
Кто такой Кобальт?
Группа Cobalt, также обозначаемая в некоторых отчетах как Carbanak, представляет собой киберпреступную банду, специализирующуюся на краже крупных сумм денег из банков и других финансовых организаций. Группа обычно взламывает сети своих целей с помощью целевых фишинговых писем с вредоносными вложениями, которые используют уязвимости в MIcrosoft Word.
После того, как группа закрепится, группа может провести месяцы внутри скомпрометированных сетей, выполняя горизонтальное перемещение и изучая внутренние процедуры и рабочие процессы своих жертв, а также их собственные внутренние приложения. Все это делается в рамках подготовки к финальному ограблению, которое позволяет им украсть миллионы долларов за один раз, иногда путем взлома сети банкоматов жертвы и отправки денежных мулов для сбора наличных.
Magecart, с другой стороны, является зонтичным прозвищем для примерно десятка отдельных групп, которые взламывают веб-сайты электронной коммерции и внедряют вредоносные файлы JavaScript на свои страницы оформления заказа, чтобы украсть данные платежных карт и другую личную информацию, введенную пользователями. Группы Magecart известны тем, что используют различные методы для внедрения своего кода на веб-сайты, включая взлом сторонних сервисов, у которых уже есть законные скрипты, загруженные на целевые веб-сайты для аналитики, рекламы и других целей.
Киберпреступная группа FIN6 также использует скимминг карт
Недавно исследователи из IBM обнаружили доказательства того, что другая группа киберпреступников под названием FIN6, связанная с Cobalt, перешла на использование веб-скимминга карт. FIN6 известен тем, что компрометирует физические системы точек продаж организаций из секторов розничной торговли, гостеприимства и ресторанов с целью кражи данных платежных карт. Недавно наблюдаемая активность веб-скимминга, связанная с FIN6, на самом деле совпадает с деятельностью другой группы под названием Magecart Group 6.
«Основываясь на их исторических связях с космосом и появлении сложных групп участников, таких как FIN6 и другие, было бы логично, что Cobalt Group также войдет в эту сферу и продолжит диверсифицировать свои преступные действия против глобальных финансовых институтов», - сообщает Malwarebytes. и исследователи HYAS заявили в своем отчете.
Скимминг на стороне сервера
В то время как атаки Magecart в основном происходят на стороне клиента - вредоносный JavaScript загружается и выполняется в браузерах пользователей - Malwarebytes также обнаружил доказательства того, что Magecart Group 4 выполняет скимминг на стороне сервера. Этот метод включает использование сценария PHP, который перехватывает и извлекает данные непосредственно на уровне веб-приложения во время их обработки.
Скимминг на стороне сервера обнаружить намного сложнее, особенно извне, потому что он не виден браузерам или сканерам веб-сайтов. Чтобы обнаружить такие взломы, владельцы веб-сайтов должны использовать решение, способное сканировать файлы на самом сервере или контролировать их целостность для выявления несанкционированных изменений.
Причина, по которой Malwarebytes обнаружила серверный скиммер MG4 на сервере, заключалась в том, что злоумышленники совершили ошибку и вместо этого использовали его как JavaScript. Это позволило индексировать его содержимое с помощью службы urlscan.io. Этот файл оказался почти точной копией серверного скиммера PHP, о котором в августе сообщили исследователи из фирмы Sucuri, занимающейся веб-безопасностью .
Скрипт предназначен для работы с Magento, платформой электронной коммерции, и автоматически загружается приложением. Затем он отслеживает запросы приложений по определенным ключевым словам, таким как billing, cvv, year, cc_number, dummy, cc_, payment, card_number, username, expiry, firstname, login, shipping, month, securetrading, cvc2. Если такие ключевые слова обнаруживаются, запрос вместе с информацией cookie отправляется на внешний сервер, контролируемый злоумышленниками.
«Использование как клиентских, так и серверных скиммеров и проблемы, которые это создает при выявлении компрометации Magecart со стороны продвинутых групп угроз, требуют постоянной работы отраслевых партнеров по защите от этой серьезной и растущей угрозы», - заявили исследователи.
Исследователи обнаружили связь между атаками веб-скимминга на основе Magecart и сложной киберпреступной группой под названием Cobalt, которая украла сотни миллионов у финансовых учреждений по всему миру. Они также обнаружили свидетельства скимминга на стороне сервера, который труднее обнаружить, чем типичные инъекции JavaScript.
Совместное исследование Malwarebytes и охранной фирмы HYAS выявило существенное сходство между регистрационной информацией для доменных имен, используемых в их инфраструктуре как Cobalt, так и группой, которую до сих пор отслеживали как Magecart Group 4 (MG4). В частности, и Cobalt, и MG4 использовали один и тот же шаблон именования учетных записей электронной почты, одни и те же почтовые службы, одни и те же регистраторы доменов и одни и те же услуги защиты конфиденциальности.
«Учитывая использование услуг по обеспечению конфиденциальности для всех доменов, о которых идет речь, весьма маловероятно , что это соглашение об именах должно быть известно любому другому актеру , чем актеры , которые зарегистрированы как инфраструктуру Cobalt Group и Magecart,» исследователи сказали в докладе, опубликованном Cегодня. «Кроме того, дальнейшее расследование показало, что независимо от используемого провайдера электронной почты, десять из, казалось бы, отдельных учетных записей повторно использовали только два разных IP-адреса, даже в течение недель и месяцев между регистрациями».
Компания HYAS, предоставляющая службы атрибуции, провела поиск в своих наборах данных и нашла конкретный адрес электронной почты, который регистрировал домены Magecart, но также использовался в кампании целевого фишинга по электронной почте с вредоносными документами Word, которые соответствуют принципам работы Cobalt. Тот же адрес также использовался для регистрации доменных имен, которые очень похожи на те, которые использовались Cobalt в прошлом.
Кто такой Кобальт?
Группа Cobalt, также обозначаемая в некоторых отчетах как Carbanak, представляет собой киберпреступную банду, специализирующуюся на краже крупных сумм денег из банков и других финансовых организаций. Группа обычно взламывает сети своих целей с помощью целевых фишинговых писем с вредоносными вложениями, которые используют уязвимости в MIcrosoft Word.
После того, как группа закрепится, группа может провести месяцы внутри скомпрометированных сетей, выполняя горизонтальное перемещение и изучая внутренние процедуры и рабочие процессы своих жертв, а также их собственные внутренние приложения. Все это делается в рамках подготовки к финальному ограблению, которое позволяет им украсть миллионы долларов за один раз, иногда путем взлома сети банкоматов жертвы и отправки денежных мулов для сбора наличных.
Magecart, с другой стороны, является зонтичным прозвищем для примерно десятка отдельных групп, которые взламывают веб-сайты электронной коммерции и внедряют вредоносные файлы JavaScript на свои страницы оформления заказа, чтобы украсть данные платежных карт и другую личную информацию, введенную пользователями. Группы Magecart известны тем, что используют различные методы для внедрения своего кода на веб-сайты, включая взлом сторонних сервисов, у которых уже есть законные скрипты, загруженные на целевые веб-сайты для аналитики, рекламы и других целей.
Киберпреступная группа FIN6 также использует скимминг карт
Недавно исследователи из IBM обнаружили доказательства того, что другая группа киберпреступников под названием FIN6, связанная с Cobalt, перешла на использование веб-скимминга карт. FIN6 известен тем, что компрометирует физические системы точек продаж организаций из секторов розничной торговли, гостеприимства и ресторанов с целью кражи данных платежных карт. Недавно наблюдаемая активность веб-скимминга, связанная с FIN6, на самом деле совпадает с деятельностью другой группы под названием Magecart Group 6.
«Основываясь на их исторических связях с космосом и появлении сложных групп участников, таких как FIN6 и другие, было бы логично, что Cobalt Group также войдет в эту сферу и продолжит диверсифицировать свои преступные действия против глобальных финансовых институтов», - сообщает Malwarebytes. и исследователи HYAS заявили в своем отчете.
Скимминг на стороне сервера
В то время как атаки Magecart в основном происходят на стороне клиента - вредоносный JavaScript загружается и выполняется в браузерах пользователей - Malwarebytes также обнаружил доказательства того, что Magecart Group 4 выполняет скимминг на стороне сервера. Этот метод включает использование сценария PHP, который перехватывает и извлекает данные непосредственно на уровне веб-приложения во время их обработки.
Скимминг на стороне сервера обнаружить намного сложнее, особенно извне, потому что он не виден браузерам или сканерам веб-сайтов. Чтобы обнаружить такие взломы, владельцы веб-сайтов должны использовать решение, способное сканировать файлы на самом сервере или контролировать их целостность для выявления несанкционированных изменений.
Причина, по которой Malwarebytes обнаружила серверный скиммер MG4 на сервере, заключалась в том, что злоумышленники совершили ошибку и вместо этого использовали его как JavaScript. Это позволило индексировать его содержимое с помощью службы urlscan.io. Этот файл оказался почти точной копией серверного скиммера PHP, о котором в августе сообщили исследователи из фирмы Sucuri, занимающейся веб-безопасностью .
Скрипт предназначен для работы с Magento, платформой электронной коммерции, и автоматически загружается приложением. Затем он отслеживает запросы приложений по определенным ключевым словам, таким как billing, cvv, year, cc_number, dummy, cc_, payment, card_number, username, expiry, firstname, login, shipping, month, securetrading, cvc2. Если такие ключевые слова обнаруживаются, запрос вместе с информацией cookie отправляется на внешний сервер, контролируемый злоумышленниками.
«Использование как клиентских, так и серверных скиммеров и проблемы, которые это создает при выявлении компрометации Magecart со стороны продвинутых групп угроз, требуют постоянной работы отраслевых партнеров по защите от этой серьезной и растущей угрозы», - заявили исследователи.
