Дослідники виявили зв'язок між угрупованнями Magecart Group 4 і Cobalt

11:00
Дослідники виявили зв'язок між угрупованнями Magecart Group 4 і Cobalt

    Команда дослідників безпеки з компаній Malwarebytes і HYAS виявила зв'язок між кіберзлочинним угрупованнями Magecart Group 4 і Cobalt (також відомої як Carbanak, Fin7 і Anunak). Згідно з результатами аналізу, Group 4 проводить скімінг не тільки на стороні клієнта, але, ймовірно, продовжує робити те ж саме на сервері.

    Magecart — термін, який об'єднує більше десятка кіберзлочинних угруповань, що спеціалізуються на впровадженні скриптів для розкрадання даних банківських карт в платіжних формах на сайтах. Вони відповідальні за атаки на такі компанії, як Amerisleep, MyPillow, Ticketmaster, British Airways, OXO і Newegg.
   Group 4 є одним з найбільш «просунутих» угруповань. Його учасники використовують складні методи для маскування в трафіку, наприклад, за допомогою реєстрації доменних імен, пов'язаних з аналітичними компаніями або рекламодавцями. Група має досвід роботи з банківськими шкідливими програмами, так само як і угруповання Cobalt.
    Дослідники відстежували різні групи Magecart, шукали елементи їх інфраструктури, а також зв'язок між доменами і IP-адресами. На основі індикаторів компрометації, зареєстрованих доменів, використаних тактик, методів і процедур дослідники прийшли до висновку, що Cobalt, можливо, перейшла на web-скімінг.
    Домени, з яких завантажувалися скимери, були зареєстровані на поштову адресу в сервісі ProtonMail, який дослідники з RiskIQ раніше пов'язали з Magecart. Проаналізувавши дані, фахівці пов'язали цю адресу з іншими реєстраційними листами і виявили загальний характер, зокрема, при створенні поштових скриньок використовувався шаблон [ім'я], [ініціали], [прізвище], який Cobalt недавно використовувала для облікових записів в ProtonMail.
    При аналізі інфраструктури Group 4, дослідники виявили PHP-скрипт, який був помилково прийнятий за JavaScript-код. Подібний тип вихідного коду можна побачити лише при наявності доступу до сервера, скрипт взаємодіє виключно з серверної частиною.
    «Він невидимий для будь-якого сканера, тому що все відбувається на самому зламаному сервері. Скимер Magecart зазвичай виявлявся на боці браузера, однак на стороні сервера його набагато складніше виявити », — зазначає дослідник Джером Сегура (Jerom Segura).
Подальше дослідження показало, що незалежно від використовуваного сервісу електронної пошти, у 10 окремих облікових записах повторно використовувалися тільки два різних IP-адреси, навіть через кілька тижнів і місяців між реєстраціями.
   Одною з таких поштових скриньок є petersmelanie @ protonmail, яка використовувалася для реєстрації 23 доменів, включаючи my1xbet [.] Top. Даний домен використовувався в фішинговій кампанії для експлуатації уразливості CVE-2017-0199 в Microsoft Office. Той же поштовий обліковий запис використовувався для реєстрації домену oracle-business [.] Com і атак на Oracle, які пов'язали з угрупованням Cobalt.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.