Recorded Future 、 Recorded Future®プラットフォーム、情報セキュリティ(脅威についての)レポート作成、およびその他のオープン情報源インテリジェンス(OSINT)情報源からの現在のデータを分析して、脅威アクターキャンペーンを促進するスニファーを特定しました。 このレポートは、レポート「地下経済における自動化とコモディティ化」で取り上げられた調査結果を拡張します。 database 侵害、ハッキング、 チェッカーとブルートフォーサー、ローダーとクリプター。このレポートは、ネットワーク防御者、セキュリティ研究者、およびセキュリティリスク管理と軽減を担当する役員にとって最も興味深いものとなるでしょう。

Executive Summary

グローバルビジネスがオンラインでの取引の増加に向けて移行する中、脅威アクターは、Webサイトの支払い処理システムやインターフェースの脆弱性、特に脅威アクターが悪意のあるJavaScript(JS)を挿入し、顧客データや支払いカードの詳細を盗み出すことを可能にする脆弱性を特定し、悪用することにますます投資するようになりました。

今回と 前回の Recorded Futureレポートで強調されているように、悪意のあるJSコードのWebサイトへのインジェクションは、Magecart(この手法を使用する脅威アクターグループの総称)に限ったことではなく、ダークウェブ上の複数の脅威アクターによって販売されており、定期的に更新され、複数の機能を含むカスタマイズされた支払いスニファーを開発しています。 購入またはレンタルできます。 これらのすぐに利用できるスニファーの亜種により、サイバー犯罪者は侵害された支払い処理Webサイトから機密情報を盗み、収集することができます。 これらの攻撃が実を結び続ける限り、このレポートで紹介した3つの脅威アクターは、更新されたセキュリティ対策やアラートを打ち破ることができるカスタマイズされたスニファーを開発・販売し続ける可能性があります。

主な判断

• ダークウェブの脅威アクターは、高レベルのダークウェブソースを使用して、Webサイトの支払いプロセスに挿入された認証情報を収集するように設計され、定期的に更新されるカスタマイズされたJSスニファーを宣伝および販売しています。
• カスタマイズされたスニファの亜種には、使いやすいインターフェースや、侵害されたデータを消化可能な形式に整理する機能、定期的な支払いカードデータを削除する機能、個人を特定できる情報(PII)を抽出する機能、ウイルス対策設定を無効にする機能など、複数の機能が含まれています。
• Magecartの攻撃をめぐる世間の成功により、脅威アクターは引き続きスニファーに関心を持ち、ダークウェブのソースを使用してカスタマイズされたスニファーの亜種を宣伝および購入する可能性が高いです。

背景

今日のサイバー脅威の状況では、脅威アクターは、支払いカード番号やその他の個人を特定できる情報(PII)を盗む際に、スキマーとシマー、POS(Point-of-Sale)マルウェア、スニッファーという3つの一般的な戦術、手法、手順(TTP)を展開しています。 これらの手法は互換性がありませんが、次のように定義します。

• スキマーとシマー: ATM、ガソリンポンプ、その他の物理的な決済端末に挿入または配置されるハードウェアデバイス。これらのデバイスは、 トラック 1 と 2 の支払いカード データ、場合によっては PIN コードを抽出するように設計されています。
• POS マルウェア: 決済端末を標的とし、トラック 1 または 2 の支払いデータをキャプチャするように設計された悪意のあるコードまたはソフトウェアで、場合によってはカードなし (CNP) 取引の実行に使用される可能性があります。技術的には、PoS マルウェアはスニッフィングを行うことができますが、これは通常、ネットワークであり、支払いのスニッフィングではありません。Recorded Future は、少なくとも 92 の PoS マルウェアの亜種を特定しました。
• スニファー:悪意のあるコード(通常はJavaScript(JS))で、Webサイトの支払いシステムに挿入され、カード検証値(CVV)、クレジットカードの裏面にある3桁または4桁の番号、その他のPIIなどの支払いカード情報を盗むように設計されています。 コードインジェクションの方法には、XSS攻撃、フォームジャッキング、サードパーティコード、ライブラリの再利用などがあります。

オンラインやモバイル取引を通じて販売が増えるにつれ、脅威アクターは電子商取引プラットフォームやウェブサイトのチェックアウトページ内の脆弱性を特定することに注力しています。特にCOVID-19のパンデミックの最中、2020年4月にeコマースの売上が49% 増加 したと報告されている現在、脅威アクターはこれらの変化を利用しようと金銭的な動機を持っています。これらの脆弱性と傾向は、個々の脅威アクターだけでなく、2020年7月に 特定 された北朝鮮のAPT Lazarus Groupなどの高度な持続的脅威(APT)によっても悪用されており、米国およびヨーロッパの主要なオンライン小売業者のWebサイトを標的にしています。

脅威アクターがスニファーを使用すると、感染したWebサイトにアクセスした顧客からデータを自動的にキャプチャする悪意のあるJSが挿入され、多数の顧客の支払いカードとPIIが自動的に収集されます。 スニファーは、侵害されたデータを脅威アクターのC2に転送し、さらなる処理と悪用を行います。 脅威アクターがeコマースWebサイトのチェックアウトページからCNPデータを盗むことに成功すると、このCNPデータは商品やサービスの購入に使用されたり、クレジットカードショップで販売されたりします。 脅威アクターは、侵害されたCNPデータを頻繁に使用して、流動性の高い商品やサービスを購入し、自分自身がカード非提示取引を利用しています。

本レポートで取り上げたように、悪意のあるJSインジェクションを介してWebサイトから侵害された支払い認証情報を収集する脅威アクターグループを表すために使用される包括的な用語である「Magecart」は、悪意のあるJSを使用する脅威アクターの唯一のグループではありません。 Recorded Futureは、ダークウェブのソース全体でカスタマイズされたスニファーの亜種を宣伝し、その亜種が独自の属性を含み、オペレーターによって定期的に更新され、新たに実装されたセキュリティ対策を破るダークウェブの脅威アクターを特定して調査しました。

カスタマイズされたスニファーの亜種とその背後にいる脅威アクター

ソチ

「ソチ」は、少なくとも 3 つのフォーラム (Exploit、Verified、Club2CRD) で活動している少なくとも 2 人の異なるロシア語を話す人物が使用する主な呼び名です。 ソチは、JSスニファー「Inter」とトロイの木馬Android Redの作成者です。 2019年3月、Recorded Futureはソチのダークウェブ活動を調査し、次の情報を発見しました。

• ソチで使用されるその他のモニカーには、"xx5" (検証済み) と "SSN" (Club2CRD) が含まれます。
• 提供される犯罪活動とサービスには、マルウェアの開発、防弾ホスティング、電子商取引Webサイトの侵害、キャッシュアウト、侵害された銀行の資格情報とWebサイトへのアクセスの購入、「BuyCC」や「LookigtoBuy」などの他の脅威アクターからの侵害された資格情報の転売が含まれます。
• ソチはまた、ウェブサイト上の支払いフォーム、iframe、またはリダイレクトなど、あらゆるタイプの支払いソリューションを使用して、オンラインショップへの潜在的なアクセスを購入することを提案しています。 脅威アクターは、提供されたアクセスから侵害された支払いカードの最大85%、または1,000枚のクレジットカードと引き換えに20,000米ドルを提供します。

ソチのスニファーの亜種であるInterについては、脅威アクターが2018年12月に広告を開始し、支払いプラットフォーム、特にMagento、OpenCart、OsCommerce、およびiframeやサードパーティの支払い処理業者を使用するWebサイトからCNP支払いデータを盗むように設計されたユニバーサルスニファーであると説明していることがわかりました。 Interの一部のインスタンスは、Webサイトのソースコードで「GetCCInfo:fuction」などの異なる文字列を検索していることがわかりました。

現在、SochiはInterのライセンスを約1,000ドルで販売しており、購入にはスニファーのペイロード、ユーザーマニュアル、24/7カスタマーサービス、無料の管理パネル、アップグレードが含まれます。 インテルには、以下の技術的能力と特徴があります。

• キャプチャされたデータは、コントロールパネルに転送される前にGIF画像形式に変換され、GETリクエストによる流出が可能になります。
• スニファは SSL 接続を妨害したり、切断したりしません。
• Interは、ウイルス対策ソフトウェアに検出されないように定期的に更新されます。

ビラー

「Billar」はロシア語を話す脅威アクターで、2013年から犯罪アンダーグラウンドで活動しており、「mr.スニファ」 ビラーは、「Mr.SNIFFA」の広告を最初に公開し、2019年12月3日にExploit Forumで最初に広告を掲載し始めました。

**図1**:2019年12月から2020年7月までの注目すべきBillarの活動。 (出典:Recorded Future)

2020年3月30日、有名なハッカーであり、複数のアンダーグラウンドコミュニティのメンバーである「Ubercri」は、Exploit Forumのメンバーと共有しました。SNIFFAの管理パネルはGoogle検索で見つけることができるため、Billarのスニファーバリアントによって侵害された企業やWebサイトを簡単に特定できます。

2020年6月29日、経験豊富なマルウェアコーダー、ペネトレーションテスター、リバースエンジニアである「RedBear」がXSSフォーラムで、Billarの運営者を特定できる可能性のある調査結果を発表しました。 RedBearによると、ビラールは「ミハイル・ミハイロビッチ・シュクロバネッツ」によって運営されています。 Recorded Futureのアナリストは、RedBearの調査をレビューし、Shkrobanetsを特定するために使用された手順を分析し、RedBearがBillarを特定するために取った手順の一部が法的または倫理的ではなかったにもかかわらず、RedBearの調査は完全で正確である可能性が高いと評価しました。

現在、ビラーは氏を宣伝しています。SNIFFAのExploit Forumで約3,000ドル。 このパッケージには、次の機能が含まれています。

• マルウェアコードの受信、実装、実行の独自の方法
• クロスブラウザ難読化データ転送
• MaxMind GeoIP 統合
• ブルートフォース攻撃やDDoS攻撃を撃退するための強化されたセキュリティを備えた管理パネル
• あらゆる顧客のニーズに対応する24/7のサポートと柔軟性

ポッター

「poter」は、Exploit、Verified、Korovka、および2014年に一部のフォーラムに初めて登録された下位フォーラムMonopolyなど、ロシア語を話すトップクラスのアンダーグラウンドフォーラムのメンバーです。 Poterは、電子商取引、支払いカード詐欺、マネーロンダリングなど、さまざまな種類の金融詐欺手法に精通しており、マルウェアのコーディングにも精通しており、Android、Apple、PayPal、Visa、SunTrust、Flash Player、およびその他の組織に適用可能なさまざまなフィッシングおよび詐欺Webサイト、電子メール、管理パネル、およびデータグラバーの開発者です。

**図2**:ダークウェブでのPoterの活動。 (出典:Recorded Future)

この脅威アクターは、支払いカードデータと被害者のパスワードを盗むことができる「Universal Sniffer」の有名な開発者です。 このスニファーの亜種は、2016年7月17日にエクスプロイトフォーラムに初めて登場し、2019年1月10日に同じ脅威アクターによって削除されました。 poterがUniversal Snifferの広告をやめた理由は明らかではなく、他の脅威アクターがそれを個人的に使用し続ける可能性があります。

poterによると、Universal Snifferには次の基本的な技術的機能があり、脅威アクターによって定期的にアップグレードされていました。

• JSで書かれています
• 侵害されたすべての銀行識別番号(BIN)を確認
• 盗まれた支払いカードを1つの形式で整理
• 繰り返し支払いカードを削除しました
• 侵害された支払いカードからログイン、パスワード、配送先/請求先住所を取得
• 侵害された支払いカードを州ごとにフィルタリング

**図3**:スニファー管理パネルには、侵害された支払いカードフィールド認識設定が表示されます。

**図4**:侵害されたデータを持つスニファインターフェースは、日付、IPアドレス、およびユーザーエージェントで分類できます。

当初、poterはスニファーの価格を数千ドルに設定していましたが、その後、より多くのユーザーを引き付けるために価格をわずか数百ドルに下げました。 2018年7月16日、poterは十分な顧客を確保し、スニファーの初期価格である数千ドルを返還したと発表しました。

私たちの調査中、 Recorded Future は、上記の3つの脅威の証拠を特定しませんでした 侵害、カスタマイズされたスニファーから取得したハッキングカーディングデータ。 ただし、スニファーの目的は支払いカード情報を盗むことであり、その情報は収益化されて初めて価値があることを考えると、カード情報はオンラインで商品を購入し、再販するために販売または使用されたに違いない可能性が非常に高いです。収益化がどのように機能するかの例は、Magecart の背後にいる脅威アクターによる両方の手法の使用です。調査 によると、 Magecart関連のインフラストラクチャと侵害、ハッキングデータは、少なくとも1つのダークウェブカーディングショップ、Trump's Dumps、および脅威アクターは、盗まれたクレジットカードで購入した商品を受け取り、再発送するためにラバ を募集しています 。

マゲカート

Magecartは、セキュリティ研究者やメディアが、電子商取引サイトを標的とするさまざまな脅威アクターを、CNPデータを盗むために使用されるJSベースのクレジットカードWebスキマーとグループ化するために使用する手口です。 Magecartという名前自体は、Magentoプラットフォームの脆弱なプラグインを実行しているサイトを標的とするこれらのアクターにちなんで付けられています。 FlashPointとRiskIQは、Magecartが当初、2015年に活動を開始した単一の脅威アクターグループであったことを示しました。 2016年には2つ目の異なるグループが観察され、それ以来、さらに多くのグループが出現しています。 2019年7月以降、Macy's、Sweaty Betty、Volusion、Claire'sなど、小規模から大規模まで、さまざまなセクターのあらゆる企業がMagecart関連の脆弱性の被害に遭っています。

2018年10月から本レポートの執筆時までに、Recorded Futureのアナリストは、少なくとも95のオンライン小売Webサイトを標的としたMagecartオペレーターに関連する脅威活動を観察しました。多くの場合、さまざまな種類のスニファーを使用するさまざまな脅威アクター グループは、一般に Magecart と呼ばれています。この攻撃ベクトルは蔓延しているように見えますが、少なくとも 12 の Magecart 関連グループがあり、報告された攻撃が続いていることを考えると、実際にこれらのスニファーを構築、販売、維持する脅威アクターはごくわずかです。

**図5**:2019年7月から2020年7月までの注目すべきMagecartの活動と攻撃。 (出典:Recorded Future)

2019年から2020年にかけて、Magecartのオペレーターは、主要なターゲットに到達するためにサードパーティのサプライヤーを標的にすることから、JSスニファーコードを直接eコマースWebサイトに注入して支払いデータを収集し、後でデータをコマンドアンドコントロール(C2)サーバーまたは指定ドメインに転送することに移行しました。

2020年の第1四半期にかけて、2019年12月にインドネシアで発生した法執行機関の逮捕が大々的に報道されたにもかかわらず、Magecartのクレジットカードの盗聴活動は引き続き繁栄しています。インターポールは2020年1月27日、マゲカートカード盗聴作戦を行ったと特定された3人がインドネシア連邦警察に逮捕されたと 報告 した。逮捕につながる情報を法執行機関に提供したグループIBは、関与したマゲカートのサブグループを「GetBilling」と名付けた。別の警備会社であるサングイン・セキュリティも、このグループを追跡していると 報告 した。

データセット内では、これらのサンプルドメインのうち3つへの参照が観察されました。さらに、Sanguine Securityが以前に公開していなかった3つの新しいドメインも参照しています。 この最新のキャンペーンに関連するJSスニファーオペレーターは、侵害された小売Webサイトに挿入されたJSを使用し、このキャンペーンの過程で共通のJS関数のセットを使用しています。 調査中に観測された影響を受けた95のWebサイトのうち、2020年1月時点で28のWebサイトが積極的に侵害されたままでした。

上記のインシデントと同様に、「Keeper」という名前のMagecart関連グループ(ドメインfileskeeper[.]組織 2017年4月から現在までに、55か国の少なくとも570のWebサイトに影響を与えた64の攻撃者ドメインと73の流出ドメインの運用に成功したと Gemini Advisoryによって特定されました。影響を受けたウェブサイトのうち、推定85%がコンテンツ管理システムMagentoを 運用 しており、Recorded Futureは2018年9月以降、少なくとも10件の検証済みの悪意のあるインシデントを確認しています。

上記のMagecart攻撃の規模、巧妙さ、および長さは、Magecartの脅威アクターが技術に精通しており、Webサイトのセキュリティの改善に基づいてTTPを適応させることができ、Webサイト上の支払いおよびコンテンツ管理システムの脆弱性(一般に知られているものと知られていないものの両方)を日和見的に悪用できることを示しています。

見通しと緩和戦略

ダークウェブはより専門化され、カスタマイズ可能なツールやサービスを宣伝し、これらのツールを強化するためのフィードバックを提供し、脅威アクターが技術的なスキルと能力を披露して金銭的な報酬を得るために使用されています。 脅威アクターが悪意のあるJSコードを挿入するために使用できる複数の攻撃ベクトルと、Magecart攻撃に関連する公に知られている金銭的成功により、脅威アクターは脆弱なWebサイトの支払いプロセスシステムを引き続き標的にするだけでなく、更新されたセキュリティ対策とアラートを破ることができるカスタマイズされたスニファーを開発および販売し続ける可能性があります。 ダークウェブのソース(フォーラム、マーケット、暗号化されたメッセンジャー)は、当面の間、脅威アクターと顧客との間の架け橋として機能し続けるでしょう。

以下は、スニファー攻撃の検出と防止に役立つ緩和戦略です。

• 疑わしいスクリプトやネットワーク動作を特定するためのテスト購入など、Webサイトの定期的な監査を実施します。
• Web スキミングやマルウェア保護などのクライアント側の保護を実装します。
• 外部から読み込まれた重要でないスクリプトがチェックアウトページに読み込まれないようにします。
• サードパーティのプラグインがeコマースWebサイトでコード、サーバー、および外部通信をどのように使用しているかを評価し、コードや動作の変更を監視します。