Lazarus组织针对美国和欧洲发起Magecart攻击

来自网络安全公司Sansec的研究表明,东北亚某国资助的黑客组织Lazarus APT一直在窃取美国和欧洲大型零售商户的支付卡信息，与APT Lazarus / HIDDEN COBRA相关的黑客最早在2019年5月就入侵了美国大型零售商的在线商店并植入了payment skimmers。

据2019年联合国一份报告称，此前，东北亚某国的黑客活动主要局限在银行和韩国的加密货币市场，这些秘密的网络活动为他们带来了近20亿美元的收入。正如Sansec的最新研究表明，他们现在已经将犯罪活动扩展到了有利可图的东北亚某国。

Sansec研究人员将本次活动归因于Lazarus组织，是因为攻击重复使用了以前的网络设备和环境。此外，基于恶意软件代码的独特性，Sansec的研究人员也将许多攻击活动判断为同一组织所为。

一、HIDDEN COBRA & 数字掠夺（Digital skimming）

数字掠夺，也称为Magecart，是在网上商店购买过程中对信用卡的拦截。自2015年以来，这种类型的欺诈行为一直在增长，过去以讲俄语和印尼语的黑客组织为主，现在来自东北亚某国的同行也加入了进来，瓜分这个市场。

为了拦截交易，攻击者需要修改在线商店的计算机代码。HIDDEN COBRA设法获得了大型零售商（例如国际时尚连锁店Claire's）的商店代码。HIDDEN COBRA如何获得访问权限尚不清楚，但是攻击者经常使用鱼叉式攻击（诱骗邮件）来获取零售人员的密码。

使用未经授权的访问，HIDDEN COBRA将恶意脚本注入商店结帐页面。skimmer等待没有防备的顾客的点击。客户完成交易后，拦截的数据（例如信用卡号）将发送到HIDDEN COBRA控制的服务器。

二、意大利的模特经纪公司为中间人

奇怪的是，HIDDEN COBRA使用了一家意大利模特经纪公司和一家来自德黑兰的古董音乐商店的网站来开展其全球掠夺活动。

HIDDEN COBRA构建和运营了一个全球网络：该网络利用合法的站点，这些站点被劫持并伪装用于犯罪活动。该网络还将被盗资产归类，以便在暗网市场上出售它们。Sansec已经确定了许多这样的渗透节点，包括米兰的模特经纪公司，德黑兰的古董音乐商店和新泽西的家庭书店。

三、技术分析

Sansec监视数百万在线商店的skimming活动，通常每天发现30至100个受感染的商店。许多案例中，都使用了相同的攻击模式，例如共用的基础设施、相似的编码风格。例如调试消息“ Success bro” ，在12月导致三名印度尼西亚人被捕。但是，有时它们会更隐蔽，例如HIDDEN COBRA就是这种情况。

Sansec的研究已经确定了最近的skimming活动与先前记录的东北亚某国黑客活动之间存在多个独立的联系。下图绿色部分表示一小部分的受害者，红色部分表示受HIDDEN COBRA控制的渗透节点。黄色部分表示唯一标识的操作方式（或TTP）。

（1）第一个特征：clienToken =

<script src="https://www.luxmodelagency.com/wp-includes/js/customize-gtag.min.js"></script>

在2019年6月23日，Sansec在一家美国卡车零件商店发现了一个skimmer，该skimmer使用了被破坏的意大利模特网站来收集付款数据。使用流行的Javascript注入脚本customize-gtag.min.js对网站进行干扰。在隐藏的代码中，找到了字符串WTJ4cFpXNTBWRzlyWlc0OQ==，它是clientToken=的double-base64编码表示。此特定关键字随后用作HTTP GET参数，以将被盗的有效数据发送到skimmer渗透节点。特定的编码和将被盗的有效载荷伪装为“ clientToken”的尝试形成了唯一的识别特征。

该恶意软件在24小时内消失，并在一周后重新出现在同一家商店中。这次，它使用了新泽西州的一家书店来收集信用卡：

<script src="https://www.signedbooksandcollectibles.com/js/gmaps.min.js"></script>

在接下来的几个月中，相同的恶意脚本使用以下被劫持的站点来加载并收集被盗的信用卡，从而感染了数十家商店：

stefanoturco.com (在2019-07-19和2019-08-10之间)

technokain.com (在2019-07-06和2019-07-09之间)

darvishkhan.net (在2019-05-30和2019-11-26之间)

areac-agr.com (在2019-05-30和2020-05-01之间)

luxmodelagency.com（在2019-06-23和2020-04-07之间）

signedbooksandcollectibles.com （在2019-07-01和2020-05-24之间）

（2）第二个特征：__preloader

2020年2月和2020年3月，注册了几个与流行的消费品牌非常相似的域名：

2020-02-10 PAPERS0URCE.COM

2020-02-26 FOCUSCAMERE.COM

2020-03-21 CLAIRES-ASSETS.COM

随后，Sansec发现，这三个品牌的网站都受到了payment skimming恶意软件的侵害。匿名注册的域名用作加载和收集卡信息。

这三种恶意软件案例不仅共享基础设施（域注册商和DNS服务），而且还共享一个特别奇怪的代码段，而Sansec在其他任何地方都没有发现。下面显示了三个相关的恶意软件片段，以供参考。常见行为：提交表单后，会将一个隐藏的动态图像添加到具有欺骗性名称__preloader的页面中。图像地址由攻击者控制，被拦截和编码的有效负载连同几个随机数一起作为该图像的参数发送。立即将动态图像从页面上删除，因此客户看不到盗窃。Sansec在6月15日首次报道克莱尔的黑客入侵时，就曾讨论过这种渗透方法。

（为便于阅读，对代码进行了少许修改）

通用代码，行为，注册商和DNS服务器是将这些案例链接到同一源的独特特征。

四、与东北亚某国相关联的线索

如上图所示，Sansec建立了多个与先前记录的东北亚某国黑客活动的独立关联。接下来将分别讨论每个关联。

（1）technokain.com

总部位于韩国的ESTSecurity发布了两篇文章，记录了东北亚某国的攻击，其中在韩国办公室文档中嵌入了恶意加载程序。加载程序会在受害人的计算机上安装Windows的远程访问软件，该软件可从以下地址下载：

2019-07-12 https://technokain.com/ads/adshow1.dat

此外，总部位于美国的安全公司Rewterz报告了针对鱼雷的攻击，该攻击针对在拉斯维加斯举行的年度消费电子展的参与者。该攻击使用来自同一地址的恶意软件。

这些攻击是在7月11日和12日发生的，在同一站点将skimmer放置不到一周后：

2019-07-06 https://technokain.com/vendor/jquery.validate.min.js

（2）darvishkhan.net

Fortiguard Labs和EST Security都记录了在2019年6月26日至7月2日之间进行的由东北亚某国发起的鱼叉式钓鱼攻击。攻击使用了包含恶意软件安装程序的恶意韩国办公文档，可从以下位置下载远程访问软件。

2019-06-27 https://darvishkhan.net/wp-content/uploads/2017/06/update6.dat

两周前，从同一站点启动了多个digital skimmer，从美国，英国和澳大利亚的多家商店中收集信用卡信息：

2019-06-12 https://darvishkhan.net/wp-includes/js/hotjar.min.js2019-06-14 https://darvishkhan.net/wp-includes/js/dist/gtm.min.js

（3）areac-agr.com

10月25日，总部位于北京的Netlab360发现了一种新颖的远程访问木马（RAT），该木马与以前归于东北亚某国的恶意软件具有多种相似之处。该工具的组件是从

2019-10-25 http://www.areac-agr.com/cms/wp-content/uploads/2015/12/check.vm

在此恶意软件之前和之后，digital skimmer被托管在同一站点上，这将拦截来自多家美国商店的付款：

2019-08-16 https://www.areac-agr.com/cms/wp-includes/Requests/Security1.3.min.js2020-05-01 https://www.areac-agr.com/cms/wp-includes/Requests/Utility/json.min.js

（4）papers0urce.com

__preloader中的三个恶意软件域使用不同的IP。其中之一-papers0urce.com-使用荷兰ISP Leaseweb的地址23.81.246.179。自2015年以来，该IP尚未被用于其他域名，但是，与先前讨论的areac-agr.com相同，它在北朝鲜的研究中也得到了体现。IP在RAT中进行了硬编码，并用作命令和控制（C2）服务器。

（5）讨论

通用入侵的站点的使用以及时间上的相似性，是否证明归于东北亚某国的操作与skimming活动由同一角色执行？从理论上讲，不同的黑客有可能同时控制同一组被劫持的地点，但实际上，这是极不可能的。首先，每天都有成千上万的站点遭到黑客攻击，这是非常偶然的重叠。其次，当网站被黑客入侵时，罪犯通常的做法是在获得访问权限后关闭被利用的漏洞，以保护新资产免受竞争对手的攻击。

五、结论

Sansec发现了一种全球skimming活动，并有证据表明，该活动与先前报道的东北亚某国黑客的活动，存在多种的关联。Sansec认为，自2019年5月以来，东北亚某国政府支持的黑客一直在进行大规模的digital skimming攻击活动。

六、参考

https://www.us-cert.gov/hidden cobra

https://www.cyberscoop.com/north-korea-sanctions-lazarus-group-treasury-department/

https://www.reuters.com/article/us-northkorea-cyber-un/north-korea-took-2-billion-in-cyberattacks-to-fund-weapons-program-u-n-report-idUSKCN1UV1ZX

https://sansec.io/what-is-magecart

https://sansec.io/research/magento-bruteforce-dashboard

https://sansec.io/research/magecart-hackers-arrested

https://sansec.io/research/magecart-corona-lockdown

http://luxmodelagency.com/

https://www.darvishkhan.net/