朝鲜黑客窃取了美国CC防御和欧盟商店的信用卡数据-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 朝鲜黑客窃取了美国CC防御和欧盟商店的信用卡数据

朝鲜黑客窃取了美国CC防御和欧盟商店的信用卡数据

小墨安全管家 2020-07-07 22:28 CC防护 89 ℃
DDoS防御

来自网络安全公司Sansec的最新研究表明,来自朝鲜的黑客组织Lazarus APT向来在窃取美国和欧洲大型零售商户的支付卡信息,他们破坏了合法网站并利用电子分离器窃取信用卡数据。

com(与areac-agr.com共享IP,在Dacls示例中举行硬编码)

areac-agr.com(在2019-05-30和2020-05-01之间)

com(在2019-07-19和2019-08-10之间)

为了幸免在泄露支付卡数据时被发觉,这些朝鲜黑客还使用类似于受害者商店的域名举行注册。

朝鲜黑客窃取了美国CC谨防和欧盟商店的信用卡数据

这种策略在Magecart式攻击中很普遍:威胁者依靠恶意足本(网络扫瞄器),从结帐页面复制敏感信息。现如今从在线商店的客户那儿窃取信用卡信息已成为越来越严峻的威胁。

因此在调查支付卡盗窃案时,Sansec的研究人员发觉,该恶意代码是从涉及Lazarus APT的网络钓鱼活动域中加载的,同时和攻击中使用的电子分离器代码共享相同的代码库。

多家网络安全公司已把渗透域与朝鲜网络攻击联系在一起,下图显示了朝鲜黑客从受害者那儿收集支付卡信息的渗透节点(红色)(绿色)。

Sansec研究人员总结讲:不排除这些攻击是与朝鲜无关的其他攻击者的所为,但并且操纵一套劫持网站的大概性特别小。于是,朝鲜至少从2019年5月起就向来在举行大规模的盗窃攻击活动,并将其作为赚钞票的一种手段。

此次受害者名单包括数十家商店,其中有配饰巨头克莱尔(Claire),黄氏珠宝商(Wongs Jewellers),Focus Camera,CBD Armour,Microbattery和Realchems。

“为了使业务获利,HIDDEN COBRA开辟了一具全球渗漏网络。该网络能够利用合法的站点,这些站点被劫持并重新用于伪装成犯罪活动。” 研究人员公布的报告表示“该网络还能够用来对被盗资产举行归类,以便能够在暗网市场上出售它们。

areac-agr.com(Dacls RAT的下载服务器)

com(在2019-07-01和2020-05-24之间)

com(spearphishing操作1,2)

net(malspam 1,2)

com(在2019-07-06和2019-07-09之间)

注册与受害者商店相似的域名是黑客组织Lazarus APT产生成果的另一种策略。在2020年2月至2020年3月间的另一次运动中,黑客注册了易与Claire's,Focus Camera和PaperSource混淆的域。

因此Sansec发觉,这三个品牌的网站都受到了付款掠夺恶意软件的侵害,同时在假域名加载了足本并收集了数据。除了域名注册商和DNS服务外,它们还共享了一具“奇数代码段”,被跟踪到是由同一参与者操作的。

因此米兰的模特经纪公司,德黑兰的古董音乐商店和新泽西的家庭书店都遭殃了,在接下来的几个月中,相同的恶意足本使用以下被劫持的站点来加载并收集被盗的信用卡,从而感染了数十家商店:

com(介于2019-06-23和2020-04-07之间)

Sansec基本确定了很多如此的渗透节点,最初,渗透节点是Lux Model Agency的网站,但该恶意软件在24小时内消逝,并在一周后重新出如今同一家商店中。

net(在2019-05-30和2019-11-26之间)


DDoS防御

当前位置:主页 > CC防护 > 朝鲜黑客窃取了美国CC防御和欧盟商店的信用卡数据

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119