Insiktレポート

Joker's Stash は、大規模な SSN オファリングとサポート インフラストラクチャでアップグレードします

投稿: 2019年10月24日
作成者 : Insikt Group

insikt-group-logo-updated-2.png

このレポートは、独立した研究者であるRodrigo BijouとJared Wilsonと共同で作成されました。

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

このレポートでは、オリジナルの Joker's Stash マーケットプレイスを特定し、そのユーザーベースをサポートするために使用されるインフラストラクチャに関連付けます。 このレポートは、アンダーグラウンド経済を追跡している人々、盗まれたクレジットカードデータを監視する必要がある企業、インフラストラクチャのピボットに関心のあるアナリストにとって最も興味深いものです。 ソースには、Recorded Future® Platform、DomainTools Iris、Shodan、BinaryEdge、Censys、SecurityTrails、FarsightDNSのほか、サードパーティのメタデータと一般的なOSINT技術が含まれます。

Executive Summary

Joker's Stashマーケットプレイスは、顧客とのサポートを強化するために、製品とインフラストラクチャの両方を進化させました。 フォーラムの運営者は、カーディングを超えて、連絡先情報や社会保障番号(SSN)など、被害者のさまざまな個人を特定できる情報(PII)を含めるようになりました。 これは、Joker's Stash オペレーターが販売しているデータの種類がエスカレートしていることを示しています。 さらに、攻撃者は購入者に専用のドメインとサーバーを提供し続けてきましたが、インフラストラクチャをTorから移動し、インフラストラクチャを列挙して追跡できるようにしました。

主な判断

  • Joker's Stashのオペレーターは、ユーザーが簡単にアクセスできる、より個人を特定できる情報を含めるようにサービスをシフトしました。 近年、このデータの量は増加しています。 これは、市場に蔓延する詐欺師の影響を受ける消費者や小売業者にとって、進化し、永続的な脅威となっています。

  • Recorded Futureは、Joker's Stashのインフラストラクチャが、脅威アクターが現在運営しているメインフォーラムを超えていると高い自信を持って評価しています。500以上のドメインと54のサーバーがJoker's Stashにリンクされていました。

  • Recorded Futureは、Joker's Stashに関連するドメインとサーバーがスピンアップされ、利用可能なデータの急増に使用され、大量に購入するクライアントにより良いサポートを提供していると高い自信を持って評価しています。

  • Recorded Futureは、マーケットプレイスの活動の急増が大規模な侵害と重なったため、Joker's Stashは、脅威アクターが侵害されたクレジットカードを宣伝して販売するための人気のあるマーケットプレイスであり続けると高い自信を持って評価しています。

背景

過去5年間で、Joker's Stashは、Target、Walmart、Saks Fifth Avenue、Lord & Taylor、British Airwaysなどの企業でのデータ侵害から盗まれたクレジットカードの大幅な 公開 を通じて、主要なアンダーグラウンドクレジットカードショップの1つになりました。 これらの侵害された支払いカードの販売は、Omerta、Club2Crd、Verifiedなど、多くのダークウェブフォーラムで宣伝されています。 2019年8月22日、同店は、ガス・コンビニエンスチェーンのHy-VeeでのPOS(Point of Sale)違反の疑いから盗まれたクレジットカードデータ(ダンプ)の最初のバッチ を公開し ました。 Joker's Stashには、この侵害に関連する530万件のクレジットカード番号 がリストされている と推定され ています。

jokers-stash-infrastructure-1-1.png

2019年9月30日時点のJoker's Stashに掲載されているニュースセクション。

主に侵害された支払いカードで知られていますが、ショップはPIIが添付されたSSNのデータベースを大幅に拡張しました。 このデータには、フォーチュン500の幹部、ホワイトハウス内閣のメンバー、および少なくとも35の米国の州のカード所有者の記録が含まれています。 Recorded Futureは、これらのSSNレコードの信憑性を確認できませんでしたが、PIIが正しいと判明した少数のチェック済みインスタンスを確認することができました。 同グループは、2019年8月以降、 Twitter で保有するSSNを目立つように宣伝しています。

jokers-stash-infrastructure-2-1.png

Joker's StashマーケットプレイスからのSSN検索の結果。

リスティングの分析

ジョーカーのスタッシュマーケットは、ダンプ、カード、SSNの3つの主要なセクションに分かれています。 ダンプとカードはどちらも盗まれた支払いカードデータに関連しています。ダンプとは、支払いカードの磁気ストリップ上のトラック2(場合によってはトラック1)のデータを指します。 カードには、支払いカード番号、有効期限、CVV番号など、カード非提示取引に関連するすべてのデータと、オンライン購入時に支払いカード所有者が通常提供するその他の情報が含まれます。 SSNセクションは、マーケットプレイスの深刻な更新を表しており、クレジットカードデータの比較的短い有用性と比較して、より永続的な不正ベクトルを提供します。 Joker's Stashは、レコードあたり5ドルで包括的な個人情報を提供し、姓と名、および「生年月日」や「州」などの少なくとも1つの他の識別子で検索できます。 レコードがまだ利用可能で未購入の場合、Webサイトには「購入」ボタンが表示されます。 「購入するには遅すぎる」と示されたレコードは、すでに別の脅威アクターによって購入されており、使用されている可能性があります。

jokers-stash-infrastructure-3-1.png

2019年9月30日現在のJoker's Stashの社会保障番号検索機能。

SSN は一括で検索でき、場所でフィルタリングできます。 最近の住所や郵便番号などの追加のPIIは、詐欺師による特定のエリアターゲティングを可能にする可能性があり、地方銀行、信用組合、または小規模な小売チェーンに対する詐欺を促進する可能性があります。 このデータへのアクセスの容易さは、特に問題です。 これは、Recorded FutureがSSNを大量に販売していることを認識している最も有名な市場またはフォーラムです。 また、データセット全体でこれほど堅牢な検索機能を可能にする最初のフォーラムでもあります。

jokers-stash-infrastructure-4-1.png

2019年9月30日現在の社会保障番号の一括検索。

フォーラムの審査なしでアクセスできるSSNの導入により、個人情報の盗難の参入障壁が大幅に低下します。 Joker's StashでのSSNの販売は、個人情報の盗難や金融データの盗難につながる可能性が高く、検出を逃れる可能性がありますが、ローエンドの試みを助長する可能性も非常に高いです。 これにより、銀行や金融機関は、完全に正しいPIIでリクエストが行われたときに詐欺を特定しようとするボリュームの問題が発生します。

Joker's Stash インフラストラクチャの追跡

Joker's Stashの運営者は、難読化されたアクセス方法を使用する市場に加えて、クリアネット上のインフラストラクチャに依存してきました。 Joker's Stashは、2017年にブラウザ拡張機能を介したブロックチェーンDNSの使用とTorマーケットプレイスを実装し、新規顧客のアクセスの障壁を低くしました。 ブロックチェーンDNSの使用には、さまざまなトップレベルドメイン(TLD)のすべてのDNSデータをローカルに保存するブラウザ拡張機能のダウンロードが含まれます。 ホスティングデータは、主流のDNSプロバイダーによって管理または共有されるのではなく、ピアツーピアネットワークを介して行われます。 このサービスのピアツーピアの性質により、Joker's Stashマーケットプレイスは、DNS当局によるテイクダウンやシンクホールの影響を受けにくくなっています。

Insikt Groupは、Joker's Stashにリンクされている49のサーバーと543のドメインを高い信頼性で特定することができました。 jstash[.]バザール しかし、ブロックチェーンDNSはjstash[.]bazarを別のWebページに追加し、分散型DNSによって提供される潜在的な難読化を回避します。

このグループは、Reddit、Twitter、PasteSites、その他のカード掲示板で、ソーシャルメディアアカウントとされるものを通じて、さまざまなドメインを宣伝しています。 Joker's Stash には、特に関連する 3 つのドメインがあります。

  • jstash[.]bazar, the flagship Joker’s Stash shop, is only accessible via Blockchain DNS browser extension. However, the domain was found to be hosted on the IP address 185.61.137.166.

  • jstash[.]ch has been advertised on carding forums by the Joker’s Stash handle, but operates on the open internet on the server 188.209.52.24.

  • jstash[.]de has been advertised on Reddit, is hosted on 185.61.138.182, and previously was hosted on the same server as jstash[.]ch, on 188.209.52.24.

jokers-stash-infrastructure-5-1.png

2019年9月25日、通常のDNS経由でJoker's Stashサーバーにアクセスしようとしました。

The servers 185.61.138.182 and 185.61.137.166 provided two unusual qualities for pivoting. Certificate pivoting identified four additional IP addresses on the same CIDR range, 185.61.137.0/24, which made use of the same TLS certificate serial numbers as the servers mentioned above. Additionally, all of the IP addresses shared an HTTPS title: “Joker’s Favorite CAPTCHA.” Pivoting through Shodan, Binary Edge, and Censys data revealed 54 servers that shared the same HTTPS title, headers, and landing page. These IP addresses can be found in Appendix A, while sample headers can be found in Appendix B.

jokers-stash-infrastructure-6-1.png

Joker's Stash サーバーヘッダーの例、Shodan 経由。

逆引きIPルックアップとWHOISピボットを使用すると、合計543のドメインが特定されました。 ドメインは、[English-word1]-[English-word2]-[English-word3]という同様の命名規則を使用していました。[TLD] です。 これらのドメインは、マルウェアの配信やフィッシングの訪問者の方法で悪意のあるものではないことに注意する必要があります。 この種のドメインについては、 以前にBrian Krebsによって報告されています。ドメインは、Joker's Stash の最大のクライアントが関心のあるカードを購入、保存、取得するための専用サーバーを持つためのポータルとして機能します。 Insikt Groupは、ドメインでテスト取引を行い、その接続がフラッグシップショップのテストアカウント残高に反映されました。 ドメインの大部分は、次のIPアドレスでホストされていました。

  • 179.43.169.17

  • 185.82.200.250

  • 185.178.211.162

  • 85.25.193.28

  • 85.25.192.57

jokers-stash-infrastructure-7-1.png

Joker の Stash インフラストラクチャから IP へのドメインのクラスタの例。

この活動に関連する他のドメインも、この調査では特定されていない可能性が非常に高いです。 Recorded FutureがJoker's Stashに高い信頼度で接続したドメインは、付録Cに記載されています。

jokers-stash-infrastructure-8-1.png

Joker's Stash インフラストラクチャの Maltego マッピング。

Unlike the main Joker’s Stash shop, the domains and servers can be accessed via normal browsers. This allows operators to provide better service for their best customers without other operational security measures. This infrastructure was originally generated to provide confirmed clients with access, while avoiding the assortment of fake Joker’s Stash domains that were created between 2015 and 2016. Notably, connecting to the domains or servers via Tor will load a splash page, telling users to use a normal browser to access the page via clearnet. This likely is to block known Tor exit nodes, as lists are commonly propagated.

jokers-stash-infrastructure-9-1.png

2019年9月25日のJoker's StashサーバーからのTor警告。

ドメインのうち 464 は、上記のサーバーと同じ "511 ネットワーク認証が必要" エラー コードを返しました。 解決されたWebページは、同じ「Joker's Favorite CAPTCHA」ページをレンダリングしました。ただし、通常の Joker's Stash の資格情報へのアクセスは許可されていません。 これは、それらが特定の顧客に使用されることを意味します。

これらのドメインの過去のホスティングデータにより、176の一意のサーバーが特定されました。Recorded Futureは、ドメインを駐車するレジストラから暫定ホスティングまで、これらの大部分が信頼性が低いと評価しています。 このデータは、将来の相関関係に価値を提供する可能性がありますが、現時点では Joker's Stash インフラストラクチャの一部ではありません。

インフラストラクチャ分析の別の要素は、ドメイン登録日の時間分析を調べることです。 この方法で特定されたすべてのドメインを見て、アナリストは、下の「Domain Registrations Over Time」(DROT)グラフで強調表示されているように、ドメイン登録日を経時的にプロットしました。 私たちの調査結果に基づくと、活動の急増は2015年と2017年に発生し、これは大規模な侵害のおおよその日付と相関しています。 これらのドメインの多くは、2019年に再アクティブ化され、継続的に使用されています。

jokers-stash-infrastructure-10-1.png

Joker's Stash に接続されたドメインの DROT グラフ。

これらのドメインの再利用は、カーディングの顧客ベースが大規模な侵害の周りで変動することを示しています。 例えば、これらのドメインの多くは、 SonicJason's Deli の侵害やその他の主要な支払いカード侵害が明らかになる前の2017年に登録されました。 Joker's Stashは通常、新たな侵害からの新しい支払いカードのリリースをかなり前に推進しており、同様に、これらのリリースを見越してインフラストラクチャを改善することが期待できます。 Insikt Groupは、JokerによるStashによるHy-Vee侵害データの買収をめぐって、2019年に多くのドメインが再活性化されたと確信しています。 Insikt Groupは、このインフラストラクチャは、より大きな侵害に対する顧客エンゲージメントを見越してスピンアップされていると理論付けています。 これらのドメインの例を以下に示します。

カヌーヒルフェイス[.]コム サステインスイムロボット[.]で 証拠-確実性[.]組織
永遠のシークバナー[.]コム wonder-abuse-sure[.]組織 クレーター・ウェイト・ハザード[.]組織
ホープ・ツー・アッパー[.]コム tower-project-unusual[.]組織 ラグプロパティスローガン[.]網
スポーンマインドアレス[.]コム タクシーバンリッチ[.]組織 利益マイナーダッシュ[.]網
スウォームアップセットボヤージュ[.]コム スティックインジェクション臓器[.]組織 ニアパルスブラー[.]で
戦争をしっかりと認識している[.]情報 ムーンジョイドラム[.]組織 better-electric-rabbit[.]で
タイム・デミス・ピクニック[.]捕虜 月-3-マニュアル[.]組織 ロブスターのライバルミックス[.]情報

 

今後の展望

Joker's StashのSSNレコードの拡大は、小売業者、ホスピタリティ事業体、消費者に対する永続的な脅威として確固たるものとなり、不正取引の検出をますます困難にしています。 Recorded Futureは、盗まれた支払いカードデータの使いやすさと収益化により、Joker's Stashは依然として大きなリスクであると考えています。 さらに、Joker's Stash から大量のデータを購入するクライアント向けに作成されたインフラストラクチャの量は、クライアント ベースが大きいことを示しています。 さらに、PIIレコードを含めることで、あまり詳しくない個人が詐欺防止策を回避しやすくなるため、カーディングが下位の犯罪者に拡大する可能性があります。

Joker's Stashで一見正確な個人データをすぐに安価に利用できることは、支払いカードデータの損失よりも個人にさらに損害を与える可能性があります。 個人のPIIが公開されると、単に新しいカードを発行するよりもはるかに軽減が難しく、社会保障番号、母親の旧姓、生年月日、出生地などの情報は、確認方法として変更または置き換えるのがはるかに難しいため、詐欺は今後何年にもわたって被害者を追跡する可能性があります。

推奨 事項

社会保障情報、銀行の資格情報、および支払いカードは、不正行為がないか注意深く監視する必要があります。 大手銀行やクレジットカードベンダーが提供する保護は、詐欺の特定に非常に優れていますが、Recorded Futureは、カードが存在しないすべての取引に対して通知を設定するなど、支払いカードと銀行取引の継続的なレビューと監査を推奨しています。 Insikt Groupは、ストアの運営者とクライアントの浮き沈みを理解するために、新しいIPアドレスとドメインについて 、関連する付録 に記載されているJoker's Stashインフラストラクチャを引き続き監視することを推奨しています。

Recorded Futureは、ネットワーク内のユーザーが何らかの詐欺に関与していることを示している可能性があるため、ネットワーク管理者は付録AおよびCに記載されているドメインとIPアドレスを監視する必要があると考えています。

関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください

関連ニュース&研究