UltraRank 黑客发起的新型攻击
发布时间:2022-07-06 10:20:08 所属栏目:安全 来源:互联网
导读:2020年11月,Group-IB专家发现了新一轮的UltraRank攻击。尽管当时发现了新的攻击,但该组织的部分基础设施仍处于活跃状态,一些网站仍受到感染。网络犯罪分子并没有使用现有的域名进行新的攻击,而是切换到新的基础设施来存储恶意代码并收集被拦截的支付数据
2020年11月,Group-IB专家发现了新一轮的UltraRank攻击。尽管当时发现了新的攻击,但该组织的部分基础设施仍处于活跃状态,一些网站仍受到感染。网络犯罪分子并没有使用现有的域名进行新的攻击,而是切换到新的基础设施来存储恶意代码并收集被拦截的支付数据。 作为UltraRank新活动的一部分,Group-IB威胁情报和分析团队发现了12个被JavaScript嗅探器感染的电子商务网站,他们中的八个在发布之时仍然受到感染。 这次,使用Radix模糊处理对JS嗅探器的代码进行模糊处理。这种模糊模式只有少数网络犯罪集团使用过,其中一个是UltraRank组(图1)。在对代码进行模糊处理后,Group-IB发现攻击使用了SnifLite系列的嗅探器,该嗅探器已为Group-IB专家所熟知,并且被攻击者UltraRank使用。由于受感染网站的数量相对较少,攻击者最有可能使用了CMS管理面板中的凭据,而这些凭证反过来又可能被恶意软件或暴力破解攻击破坏。 在最近的一系列攻击中,UltraRank模仿合法的谷歌标签管理器域将恶意代码存储在网站上。对攻击者基础设施的分析显示,主服务器由Media Land LLC托管。 本文研究了UltraRank的新活动,为银行、支付系统和在线商户提供推荐。你还可以根据我们建议用来防止UltraRank的MITER ATT&CK和MITER Shield找到威胁,攻击者的TTP以及相关的缓解和防御技术的指标。 UltraRank 黑客发起的新型攻击 被模糊的嗅探器代码片段 JS 嗅探器代码分析 从至少2019年1月开始,UltraRank就开始使用SnifLite JS嗅探器系列,当时它被用于攻击广告网络Adverline。恶意代码通过位于hXXp://googletagsmanager网站上的一个JS文件链接上传到受感染的网站。该域名伪装成谷歌标签管理器googletagmanager.com的合法域名。攻击者网站hXXp://googletagsmanager[.]co/也被用来收集截获的支付卡数据作为嗅探器(图2)。 UltraRank 黑客发起的新型攻击 经过模糊处理的JS嗅探器代码的片段,并带有到嗅探器的链接以收集被拦截的卡 图3中显示了负责拦截SnifLite嗅探器系列中的付款信息的函数,数据收集算法基于该函数querySelectorAll,就像该组织之前使用的FakeLogistics和WebRank 嗅探器系列一样。收集数据后,会将数据写入名为google.verify.cache.001的对象的本地存储中。 UltraRank 黑客发起的新型攻击 JS嗅探器代码片段,包含一个负责收集支付卡数据的函数 只有当用户所在页面的当前地址包含以下关键字之一(图4)时,才会收集和发送数据: onepage checkout store cart pay panier kasse order billing purchase basket 在发送被拦截的支付卡之前,其数据将从本地存储的_google.verify.cache.001对象中提取,并通过发送HTTP GET请求传输给攻击者。 UltraRank 黑客发起的新型攻击 JS嗅探器代码片段,其功能是将收集到的数据发送到攻击者的服务器 在UltraRank对感染病毒的进一步分析过程中,Group-IB团队发现了一个没有进行模糊的JS嗅探器样本,该样本与之前在一个攻击者的网站上发现的样本相同,该网站将UltraRank与新攻击相关联。 基础设施分析 在分析嗅探器基础设施时,发现了一个标准的PHP脚本,这是UltraRank所有网站的典型特征。除了发送的请求和服务器的常见信息之外,该脚本还显示了服务器的真实IP地址。在分析时,googletagsmanager[.]co域的IP地址为8.208.16[.]230 (AS45102, Alibaba (US) Technology Co., Ltd.)。同时,真实服务器地址是Media Land LLC(AS206728)拥有的45.141.84[.]239(图5)。根据布莱恩·克雷布斯(Brian Krebs)发布的一篇文章,Media Land LLC与一家地下论坛用户运营的防弹托管公司联系,该论坛用户的昵称为Yalishanda,它为攻击者提供服务。据推测,Yalishanda的服务使用从包括阿里巴巴在内的各种供应商那里租来的云服务器来托管部分攻击者的基础设施。 除了服务器IP地址外,脚本输出还指定网站文件在服务器hXXp://googletagsmanager[.]co/: worker.上的目录。 UltraRank 黑客发起的新型攻击 脚本输出,其中包含有关googletagsmanager.co域所在服务器的信息 IP地址 45.141.84[.]239也链接到网站hXXp://s-panel[.]su/。在分析过程中,再次在UltraRank基础结构的所有网站上找到了相同的脚本(图6)。在这种情况下,所有网站文件所在的目录称为面板(panel)。 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |