大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
朝鲜的拉撒路集团(Lazarus Group),这个不断进化的国家级威胁组织,似乎在过去一年左右的时间里将触角伸向了在线支付卡数据盗窃。
荷兰安全公司Sansec的研究人员发现,自至少2019年5月以来,该APT组织已经攻击了多家美国大型零售商的网站。在每次攻击中,威胁行动者都会植入恶意代码,以捕获用户在结账页面输入的支付卡信息。
根据Sansec周一发布的报告,研究人员目前还无法确定攻击者最初是如何侵入这些网站并植入盗刷代码的。但数据显示,拉撒路集团成员利用了一个意大利模特经纪公司的网站、伊朗的一家复古音乐商店、新泽西州的一个家族书店以及其他一些网站,来将被盗的支付卡数据传输到暗网市场。这些网站运行着WordPress平台,并且之前已经被攻破并重新用于分发被盗资产。
“他们使用这些被攻破的WordPress站点作为外泄代理。”Sansec的安全研究员Willem de Groot说,“在购物过程中,卡片数据会被记录下来并发送给这些外泄节点。”他补充道,这些代理的目的在于隐藏被盗资产的真实目的地。
在报告中,Sansec指出已经发现了“多个独立的证据”,将最近的盗刷活动与之前记录的朝鲜黑客行动联系起来。其中包括一些以前与拉撒路集团相关的IP地址和域名。
Sansec确认珠宝和时尚配饰公司Claire's是受到攻击的组织之一。但报告没有提供其他受害者的信息或拉撒路集团可能已经窃取的卡数据量。据de Groot称,Sansec收集的情报表明,APT组织至少渗透了“几十家店铺,其中包含几家大型美国零售商”。
在涉及一些大品牌的攻击中,拉撒路集团成员使用专门的外泄域——而不是那些被攻破的WordPress网站——来将被盗的卡数据传输到地下市场。de Groot表示:“很明显,在设置这些后期活动时投入了大量的准备和努力。这与过去几年Magecart的机会主义活动形成了鲜明对比。”
不断演变的战术
拉撒路集团(又名Hidden Cobra)是一个著名的APT组织,美国政府和其他机构认为它代表朝鲜政府行事。近年来,该组织与一系列高调攻击事件有关,包括2014年对索尼影业的攻击、WannaCry勒索软件攻击以及对孟加拉国银行的攻击,后者使其获得了约8100万美元。近年来,该组织还与多起加密货币挖矿活动相关联。
SentinelOne的威胁研究员Jim Walter表示:“多年来,朝鲜行动者展示了他们使用通常与APT操作无关的工具和技术的能力。”例如,他指出了拉撒路集团的加密货币挖矿行为及其采用的现成恶意软件和其他通用工具。“我们在SentinelLabs揭示过,朝鲜行动者如何使用商业网络犯罪工具,如TrickBot Anchor Project。”
许多人认为,拉撒路集团的财务动机攻击是为了为受到制裁打击的朝鲜政府的核计划筹集资金。
Lookout的安全解决方案高级经理Hank Schless表示:“传统上,看到一个国家支持的团体进行信用卡盗刷活动可能会让人感到好奇,特别是如果这是一个富裕的国家。然而,朝鲜受到严重制裁,经济困难,因此显然会使用任何可用的策略来获取资金。”
Netenrich的首席信息安全官兼安全战略主管Brandon Hoffman则认为,鉴于其过去的活动,拉撒路集团进一步进入网络犯罪领域并不令人惊讶。“从他们的角度来看,如果他们拥有执行高级持续性威胁活动的工具和技能,为什么不同时用它们来充实国库呢?”
随着拉撒路集团将其活动范围扩展到新的领域,全球企业和消费者必须保持高度警惕,并采取更严格的网络安全措施,以防止成为这类复杂攻击的目标。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜拉撒路集团涉足信用卡盗刷:网络犯罪的新篇章
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论