クレジットカードの「スニファー」は、成長する電子商取引業界に永続的な脅威をもたらします

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

Recorded Futureは、Recorded Future® Platform、情報セキュリティレポート、その他のオープンソースインテリジェンス(OSINT)ソースからの現在のデータを分析し、脅威アクターのキャンペーンを促進するスニファーを特定しました。 このレポートは、 データベース侵害 、 チェッカーとブルートフォース、 ローダーとクリプター に関するレポートに続いて、レポート「 地下経済における自動化とコモディティ化 」で取り上げられた調査結果を発展させたものです。このレポートは、ネットワーク防御者、セキュリティ研究者、およびセキュリティ リスク管理と軽減を担当するエグゼクティブにとって最も興味深いものです。

Executive Summary

グローバルビジネスがオンラインでの取引の増加に向けて移行する中、脅威アクターは、Webサイトの支払い処理システムやインターフェースの脆弱性、特に脅威アクターが悪意のあるJavaScript(JS)を挿入し、顧客データや支払いカードの詳細を盗み出すことを可能にする脆弱性を特定し、悪用することにますます投資するようになりました。

今回と 前回の Recorded Futureレポートで強調されているように、悪意のあるJSコードのWebサイトへのインジェクションは、Magecart(この手法を使用する脅威アクターグループの総称)に限ったことではなく、ダークウェブ上の複数の脅威アクターによって販売されており、定期的に更新され、複数の機能を含むカスタマイズされた支払いスニファーを開発しています。 購入またはレンタルできます。 これらのすぐに利用できるスニファーの亜種により、サイバー犯罪者は侵害された支払い処理Webサイトから機密情報を盗み、収集することができます。 これらの攻撃が実を結び続ける限り、このレポートで紹介した3つの脅威アクターは、更新されたセキュリティ対策やアラートを打ち破ることができるカスタマイズされたスニファーを開発・販売し続ける可能性があります。

背景

今日のサイバー脅威の状況では、脅威アクターは、支払いカード番号やその他の個人を特定できる情報(PII)を盗む際に、スキマーとシマー、POS(Point-of-Sale)マルウェア、スニッファーという3つの一般的な戦術、手法、手順(TTP)を展開しています。 これらの手法は互換性がありませんが、次のように定義します。

• スキマーとシマー: ATM、ガソリン ポンプ、その他の物理的な支払い端末に挿入または敷設されるハードウェア デバイス。 これらのデバイスは、 トラック 1 と 2 の支払いカード データ、場合によっては PIN コードを抽出するように設計されています。
• POSマルウェア: 決済端末を標的とし、トラック1または2の支払いデータをキャプチャするように設計された悪意のあるコードまたはソフトウェアで、場合によっては CNP(Card Not-Present )取引を行うために使用される可能性があります。 技術的には、PoSマルウェアはスニッフィングを行うことができますが、これは通常、ネットワークであり、支払いスニッフィングではありません。 Recorded Futureは、少なくとも92のPoSマルウェアの亜種を特定しています。
• スニファー:悪意のあるコード(通常はJavaScript(JS))で、Webサイトの支払いシステムに挿入され、カード検証値(CVV)、クレジットカードの裏面にある3桁または4桁の番号、その他のPIIなどの支払いカード情報を盗むように設計されています。 コードインジェクションの方法には、XSS攻撃、フォームジャッキング、サードパーティコード、ライブラリの再利用などがあります。

オンラインやモバイル取引を通じて販売が行われるようになると、脅威アクターはeコマースプラットフォームやWebサイトのチェックアウトページの脆弱性を特定することに注力しています。 特に、COVID-19のパンデミック(2020年4月にeコマースの売上高が49% 増加 したと報告されている)の今、脅威アクターはこれらの変化に乗じて金銭的な動機を持っています。 これらの脆弱性と傾向は、個々の脅威アクターだけでなく、2020年7月に米国およびヨーロッパの大手オンライン小売業者Webサイトを標的に した 北朝鮮のAPT Lazarus GroupなどのAPT(Advanced Persistent Threat)によっても悪用されています。

脅威アクターがスニファーを使用すると、感染したWebサイトにアクセスした顧客からデータを自動的にキャプチャする悪意のあるJSが挿入され、多数の顧客の支払いカードとPIIが自動的に収集されます。 スニファーは、侵害されたデータを脅威アクターのC2に転送し、さらなる処理と悪用を行います。 脅威アクターがeコマースWebサイトのチェックアウトページからCNPデータを盗むことに成功すると、このCNPデータは商品やサービスの購入に使用されたり、クレジットカードショップで販売されたりします。 脅威アクターは、侵害されたCNPデータを頻繁に使用して、流動性の高い商品やサービスを購入し、自分自身がカード非提示取引を利用しています。

本レポートで取り上げたように、悪意のあるJSインジェクションを介してWebサイトから侵害された支払い認証情報を収集する脅威アクターグループを表すために使用される包括的な用語である「Magecart」は、悪意のあるJSを使用する脅威アクターの唯一のグループではありません。 Recorded Futureは、ダークウェブのソース全体でカスタマイズされたスニファーの亜種を宣伝し、その亜種が独自の属性を含み、オペレーターによって定期的に更新され、新たに実装されたセキュリティ対策を破るダークウェブの脅威アクターを特定して調査しました。

カスタマイズされたスニファーの亜種とその背後にいる脅威アクター

ソチ

「ソチ」は、少なくとも 3 つのフォーラム (Exploit、Verified、Club2CRD) で活動している少なくとも 2 人の異なるロシア語を話す人物が使用する主な呼び名です。 ソチは、JSスニファー「Inter」とトロイの木馬Android Redの作成者です。 2019年3月、Recorded Futureはソチのダークウェブ活動を調査し、次の情報を発見しました。

• ソチで使用されるその他のモニカーには、"xx5" (検証済み) と "SSN" (Club2CRD) が含まれます。
• 提供される犯罪活動とサービスには、マルウェアの開発、防弾ホスティング、電子商取引Webサイトの侵害、キャッシュアウト、侵害された銀行の資格情報とWebサイトへのアクセスの購入、「BuyCC」や「LookigtoBuy」などの他の脅威アクターからの侵害された資格情報の転売が含まれます。
• ソチはまた、ウェブサイト上の支払いフォーム、iframe、またはリダイレクトなど、あらゆるタイプの支払いソリューションを使用して、オンラインショップへの潜在的なアクセスを購入することを提案しています。 脅威アクターは、提供されたアクセスから侵害された支払いカードの最大85%、または1,000枚のクレジットカードと引き換えに20,000米ドルを提供します。

ソチのスニファーの亜種であるInterについては、脅威アクターが2018年12月に広告を開始し、支払いプラットフォーム、特にMagento、OpenCart、OsCommerce、およびiframeやサードパーティの支払い処理業者を使用するWebサイトからCNP支払いデータを盗むように設計されたユニバーサルスニファーであると説明していることがわかりました。 Interの一部のインスタンスは、Webサイトのソースコードで「GetCCInfo:fuction」などの異なる文字列を検索していることがわかりました。

現在、SochiはInterのライセンスを約1,000ドルで販売しており、購入にはスニファーのペイロード、ユーザーマニュアル、24/7カスタマーサービス、無料の管理パネル、アップグレードが含まれます。 インテルには、以下の技術的能力と特徴があります。

• キャプチャされたデータは、コントロールパネルに転送される前にGIF画像形式に変換され、GETリクエストによる流出が可能になります。
• スニファは SSL 接続を妨害したり、切断したりしません。
• Interは、ウイルス対策ソフトウェアに検出されないように定期的に更新されます。

ビラー

「Billar」はロシア語を話す脅威アクターで、2013年から犯罪アンダーグラウンドで活動しており、「mr.スニファ」 ビラーは、「Mr.SNIFFA」の広告を最初に公開し、2019年12月3日にExploit Forumで最初に広告を掲載し始めました。

**図1**:2019年12月から2020年7月までの注目すべきBillarの活動。 (出典:Recorded Future)

2020年3月30日、有名なハッカーであり、複数のアンダーグラウンドコミュニティのメンバーである「Ubercri」は、Exploit Forumのメンバーと共有しました。SNIFFAの管理パネルはGoogle検索で見つけることができるため、Billarのスニファーバリアントによって侵害された企業やWebサイトを簡単に特定できます。

2020年6月29日、経験豊富なマルウェアコーダー、ペネトレーションテスター、リバースエンジニアである「RedBear」がXSSフォーラムで、Billarの運営者を特定できる可能性のある調査結果を発表しました。 RedBearによると、ビラールは「ミハイル・ミハイロビッチ・シュクロバネッツ」によって運営されています。 Recorded Futureのアナリストは、RedBearの調査をレビューし、Shkrobanetsを特定するために使用された手順を分析し、RedBearがBillarを特定するために取った手順の一部が法的または倫理的ではなかったにもかかわらず、RedBearの調査は完全で正確である可能性が高いと評価しました。

現在、ビラーは氏を宣伝しています。SNIFFAのExploit Forumで約3,000ドル。 このパッケージには、次の機能が含まれています。

• マルウェアコードの受信、実装、実行の独自の方法
• クロスブラウザ難読化データ転送
• MaxMind GeoIP 統合
• ブルートフォース攻撃やDDoS攻撃を撃退するための強化されたセキュリティを備えた管理パネル
• あらゆる顧客のニーズに対応する24/7のサポートと柔軟性

ポッター

「poter」は、Exploit、Verified、Korovka、および2014年に一部のフォーラムに初めて登録された下位フォーラムMonopolyなど、ロシア語を話すトップクラスのアンダーグラウンドフォーラムのメンバーです。 Poterは、電子商取引、支払いカード詐欺、マネーロンダリングなど、さまざまな種類の金融詐欺手法に精通しており、マルウェアのコーディングにも精通しており、Android、Apple、PayPal、Visa、SunTrust、Flash Player、およびその他の組織に適用可能なさまざまなフィッシングおよび詐欺Webサイト、電子メール、管理パネル、およびデータグラバーの開発者です。

**図2**:ダークウェブでのPoterの活動。 (出典:Recorded Future)

この脅威アクターは、支払いカードデータと被害者のパスワードを盗むことができる「Universal Sniffer」の有名な開発者です。 このスニファーの亜種は、2016年7月17日にエクスプロイトフォーラムに初めて登場し、2019年1月10日に同じ脅威アクターによって削除されました。 poterがUniversal Snifferの広告をやめた理由は明らかではなく、他の脅威アクターがそれを個人的に使用し続ける可能性があります。

poterによると、Universal Snifferには次の基本的な技術的機能があり、脅威アクターによって定期的にアップグレードされていました。

• JSで書かれています
• 侵害されたすべての銀行識別番号(BIN)を確認
• 盗まれた支払いカードを1つの形式で整理
• 繰り返し支払いカードを削除しました
• 侵害された支払いカードからログイン、パスワード、配送先/請求先住所を取得
• 侵害された支払いカードを州ごとにフィルタリング

**図3**:スニファー管理パネルには、侵害された支払いカードフィールド認識設定が表示されます。

**図4**:侵害されたデータを持つスニファインターフェースは、日付、IPアドレス、およびユーザーエージェントで分類できます。

当初、poterはスニファーの価格を数千ドルに設定していましたが、その後、より多くのユーザーを引き付けるために価格をわずか数百ドルに下げました。 2018年7月16日、poterは十分な顧客を確保し、スニファーの初期価格である数千ドルを返還したと発表しました。

私たちの調査中、Recorded Futureは、上記の3人の脅威アクターが、カスタマイズされたスニファーから取得した侵害されたカーディングデータを使用または販売した証拠を特定しませんでした。 ただし、スニファーの目的が支払いカード情報を盗むことであり、その情報は収益化されて初めて価値があることを考えると、カード情報は販売されたか、オンラインで商品を購入するために使用され、その後転売された可能性が非常に高いです。 収益化がどのように機能するかの一例は、Magecartの背後にいる脅威アクターによる両方の手法の使用です。 調査によると 、 Magecart関連のインフラストラクチャと侵害されたデータは、少なくとも1つのダークウェブカードショップであるTrump's Dumpsと、盗まれたクレジットカードで購入した商品を受け取り、再発送するミュールを 募集 する脅威アクターに関連しています。

マゲカート

Magecartは、セキュリティ研究者やメディアが、電子商取引サイトを標的とするさまざまな脅威アクターを、CNPデータを盗むために使用されるJSベースのクレジットカードWebスキマーとグループ化するために使用する手口です。 Magecartという名前自体は、Magentoプラットフォームの脆弱なプラグインを実行しているサイトを標的とするこれらのアクターにちなんで付けられています。 FlashPointとRiskIQは、Magecartが当初、2015年に活動を開始した単一の脅威アクターグループであったことを示しました。 2016年には2つ目の異なるグループが観察され、それ以来、さらに多くのグループが出現しています。 2019年7月以降、Macy's、Sweaty Betty、Volusion、Claire'sなど、小規模から大規模まで、さまざまなセクターのあらゆる企業がMagecart関連の脆弱性の被害に遭っています。

2018年10月からこのレポートの執筆までの間に、Recorded Futureのアナリストは、少なくとも95のオンライン小売ウェブサイトを標的としたMagecartのオペレーターに関連する脅威活動を観察しました。 多くの場合、さまざまな種類のスニファーを使用するさまざまな脅威アクターグループは、総称してMagecartと呼ばれています。 この攻撃ベクトルは広く普及しているように見えますが、Magecart関連のグループが 少なくとも12 個存在し、攻撃が続いていると報告されていることを考えると、実際にこれらのスニファーを構築、販売、維持している脅威アクターはごくわずかです。

**図5**:2019年7月から2020年7月までの注目すべきMagecartの活動と攻撃。 (出典:Recorded Future)

2019年から2020年にかけて、Magecartのオペレーターは、主要なターゲットに到達するためにサードパーティのサプライヤーを標的にすることから、JSスニファーコードを直接eコマースWebサイトに注入して支払いデータを収集し、後でデータをコマンドアンドコントロール(C2)サーバーまたは指定ドメインに転送することに移行しました。

2020年の第1四半期、Magecartのクレジットカード盗聴活動は、2019年12月にインドネシアで発生した法執行機関による逮捕が大々的に報道されたにもかかわらず、引き続き繁栄しています。 2020年1月27日、国際刑事警察機構(インターポール)は、Magecartのカード盗聴作戦を行っていたと特定された3人がインドネシア連邦警察に逮捕されたと 報じ ました。 逮捕につながる情報を法執行機関に提供したグループIBは、関与したMagecartのサブグループを「GetBilling」と名付けました。 別のセキュリティ会社であるSanguine Securityも、このグループを追跡していると 報告 しました。

データセット内では、これらのサンプルドメインのうち3つへの参照が観察されました。さらに、Sanguine Securityが以前に公開していなかった3つの新しいドメインも参照しています。 この最新のキャンペーンに関連するJSスニファーオペレーターは、侵害された小売Webサイトに挿入されたJSを使用し、このキャンペーンの過程で共通のJS関数のセットを使用しています。 調査中に観測された影響を受けた95のWebサイトのうち、2020年1月時点で28のWebサイトが積極的に侵害されたままでした。

上記の事件と同様に、「Keeper」という名前のMagecart関連のグループ(ドメインfileskeeper[.]組織 2017年4月から現在までに、55カ国の少なくとも570のウェブサイトに影響を与えた64の攻撃者と73の流出ドメインを成功裏に運用したとGemini Advisoryによって 特定 されました。 影響を受けたウェブサイトのうち、推定85%がコンテンツ管理システムMagento を運営し ており、Recorded Futureは2018年9月以降、少なくとも10件の検証済みの悪意のあるインシデントを確認しています。

上記のMagecart攻撃の規模、巧妙さ、および長さは、Magecartの脅威アクターが技術に精通しており、Webサイトのセキュリティの改善に基づいてTTPを適応させることができ、Webサイト上の支払いおよびコンテンツ管理システムの脆弱性(一般に知られているものと知られていないものの両方)を日和見的に悪用できることを示しています。

見通しと緩和戦略

ダークウェブはより専門化され、カスタマイズ可能なツールやサービスを宣伝し、これらのツールを強化するためのフィードバックを提供し、脅威アクターが技術的なスキルと能力を披露して金銭的な報酬を得るために使用されています。 脅威アクターが悪意のあるJSコードを挿入するために使用できる複数の攻撃ベクトルと、Magecart攻撃に関連する公に知られている金銭的成功により、脅威アクターは脆弱なWebサイトの支払いプロセスシステムを引き続き標的にするだけでなく、更新されたセキュリティ対策とアラートを破ることができるカスタマイズされたスニファーを開発および販売し続ける可能性があります。 ダークウェブのソース(フォーラム、マーケット、暗号化されたメッセンジャー)は、当面の間、脅威アクターと顧客との間の架け橋として機能し続けるでしょう。

以下は、スニファー攻撃の検出と防止に役立つ緩和戦略です。

• 疑わしいスクリプトやネットワーク動作を特定するためのテスト購入など、Webサイトの定期的な監査を実施します。
• Web スキミングやマルウェア保護などのクライアント側の保護を実装します。
• 外部から読み込まれた重要でないスクリプトがチェックアウトページに読み込まれないようにします。
• サードパーティのプラグインがeコマースWebサイトでコード、サーバー、および外部通信をどのように使用しているかを評価し、コードや動作の変更を監視します。