ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

このレポートでは、オリジナルの Joker's Stash マーケットプレイスを特定し、そのユーザーベースをサポートするために使用されるインフラストラクチャに関連付けます。 このレポートは、アンダーグラウンド経済を追跡している人々、盗まれたクレジットカードデータを監視する必要がある企業、インフラストラクチャのピボットに関心のあるアナリストにとって最も興味深いものです。 ソースには、Recorded Future® Platform、DomainTools Iris、Shodan、BinaryEdge、Censys、SecurityTrails、FarsightDNSのほか、サードパーティのメタデータと一般的なOSINT技術が含まれます。

Executive Summary

Joker's Stashマーケットプレイスは、顧客とのサポートを強化するために、製品とインフラストラクチャの両方を進化させました。 フォーラムの運営者は、カーディングを超えて、連絡先情報や社会保障番号(SSN)など、被害者のさまざまな個人を特定できる情報(PII)を含めるようになりました。 これは、Joker's Stash オペレーターが販売しているデータの種類がエスカレートしていることを示しています。 さらに、攻撃者は購入者に専用のドメインとサーバーを提供し続けてきましたが、インフラストラクチャをTorから移動し、インフラストラクチャを列挙して追跡できるようにしました。

主な判断

• Joker's Stashのオペレーターは、ユーザーが簡単にアクセスできる、より個人を特定できる情報を含めるようにサービスをシフトしました。 近年、このデータの量は増加しています。 これは、市場に蔓延する詐欺師の影響を受ける消費者や小売業者にとって、進化し、永続的な脅威となっています。
• Recorded Futureは、Joker's Stashのインフラストラクチャが、脅威アクターが現在運営しているメインフォーラムを超えていると高い自信を持って評価しています。500以上のドメインと54のサーバーがJoker's Stashにリンクされていました。
• Recorded Futureは、Joker's Stashに関連するドメインとサーバーがスピンアップされ、利用可能なデータの急増に使用され、大量に購入するクライアントにより良いサポートを提供していると高い自信を持って評価しています。
• Recorded Futureは、マーケットプレイスの活動の急増が大規模な侵害と重なったため、Joker's Stashは、脅威アクターが侵害されたクレジットカードを宣伝して販売するための人気のあるマーケットプレイスであり続けると高い自信を持って評価しています。

背景

過去5年間で、Joker's Stashは、データ侵害、ターゲット、ウォルマート、サックス・フィフス・アベニュー、ロード&テイラー、ブリティッシュ・エアウェイズなどの企業で盗まれたクレジットカードの大幅な リリース を通じて、最高の地下クレジットカードショップの1つになりました。 これらの侵害、ハッキング 支払いカードの販売は、Omerta、Club2Crd、Verified などを含む多くの ダークウェブ フォーラムで宣伝されています。 2019年8月22日、同店は、販売時点情報管理(POS)の疑いから盗まれたクレジットカードデータ(ダンプ)の最初のバッチを 公開 しました。 Joker's Stash には、この侵害、ハッキングに関連する 530 万のクレジット カード番号 が記載されている と推定 されています。

2019年9月30日現在のジョーカーの隠し場所に記載されているニュースセクション。
主に侵害、ハッキング決済カードで知られていますが、このショップはPIIが添付されたSSNのデータベースを大幅に拡張しました。 このデータには、フォーチュン 500 役員、ホワイトハウス内閣のメンバー、および米国の少なくとも 35 州のカード所有者の記録が含まれています。 Recorded Futureは、これらのSSNレコードの信憑性を検証できませんでしたが、PIIが正しいことが判明した少数のチェックされたインスタンスを検証することができました。同グループは2019年8月以来、 ツイッター でSSN保有株を目立つように宣伝している。

Joker's StashマーケットプレイスからのSSN検索の結果。

リスティングの分析

ジョーカーのスタッシュマーケットは、ダンプ、カード、SSNの3つの主要なセクションに分かれています。 ダンプとカードはどちらも盗まれた支払いカードデータに関連しています。ダンプとは、支払いカードの磁気ストリップ上のトラック2(場合によってはトラック1)のデータを指します。 カードには、支払いカード番号、有効期限、CVV番号など、カード非提示取引に関連するすべてのデータと、オンライン購入時に支払いカード所有者が通常提供するその他の情報が含まれます。 SSNセクションは、マーケットプレイスの深刻な更新を表しており、クレジットカードデータの比較的短い有用性と比較して、より永続的な不正ベクトルを提供します。 Joker's Stashは、レコードあたり5ドルで包括的な個人情報を提供し、姓と名、および「生年月日」や「州」などの少なくとも1つの他の識別子で検索できます。 レコードがまだ利用可能で未購入の場合、Webサイトには「購入」ボタンが表示されます。 「購入するには遅すぎる」と示されたレコードは、すでに別の脅威アクターによって購入されており、使用されている可能性があります。

Joker's Stashの社会保障番号検索機能(2019年9月30日現在)。
SSN は一括で検索でき、場所でフィルタリングできます。最近の住所や郵便番号を含む追加の PII により、詐欺師による特定の地域を標的にすることができ、地方銀行、信用組合、または小規模な小売チェーンに対する詐欺が促進される可能性があります。このデータへのアクセスの容易さは特に問題です。これは、Recorded Future が認識している最も著名な市場またはフォーラムであり、SSN を大量に売り込んでいます。また、データセット全体でこのような堅牢な検索機能を可能にする最初のフォーラムでもあります。

2019年9月30日現在の社会保障番号の一括検索。

フォーラムの審査なしでアクセスできるSSNの導入により、個人情報の盗難の参入障壁が大幅に低下します。 Joker's StashでのSSNの販売は、個人情報の盗難や金融データの盗難につながる可能性が高く、検出を逃れる可能性がありますが、ローエンドの試みを助長する可能性も非常に高いです。 これにより、銀行や金融機関は、完全に正しいPIIでリクエストが行われたときに詐欺を特定しようとするボリュームの問題が発生します。

Joker's Stash インフラストラクチャの追跡

Joker's Stashの運営者は、難読化されたアクセス方法を使用する市場に加えて、クリアネット上のインフラストラクチャに依存してきました。 Joker's Stashは、2017年にブラウザ拡張機能を介したブロックチェーンDNSの使用とTorマーケットプレイスを実装し、新規顧客のアクセスの障壁を低くしました。 ブロックチェーンDNSの使用には、さまざまなトップレベルドメイン(TLD)のすべてのDNSデータをローカルに保存するブラウザ拡張機能のダウンロードが含まれます。 ホスティングデータは、主流のDNSプロバイダーによって管理または共有されるのではなく、ピアツーピアネットワークを介して行われます。 このサービスのピアツーピアの性質により、Joker's Stashマーケットプレイスは、DNS当局によるテイクダウンやシンクホールの影響を受けにくくなっています。

Insikt Groupは、Joker's Stashにリンクされている49のサーバーと543のドメインを高い信頼性で特定することができました。 jstash[.]バザール しかし、ブロックチェーンDNSはjstash[.]bazarを別のWebページに追加し、分散型DNSによって提供される潜在的な難読化を回避します。

このグループは、Reddit、Twitter、PasteSites、その他のカード掲示板で、ソーシャルメディアアカウントとされるものを通じて、さまざまなドメインを宣伝しています。 Joker's Stash には、特に関連する 3 つのドメインがあります。

• jstash[.]Joker's Stashの旗艦店であるbazarは、Blockchain DNSブラウザ拡張機能を介してのみアクセスできます。 ただし、ドメインはIPアドレス185.61.137.166でホストされていることが判明しました。
• jstash[.]ch は、Joker's Stashハンドルによってカーディングフォーラムで宣伝されていますが、サーバー188.209.52.24のオープンインターネット上で運営されています。
• jstash[.]de はRedditで宣伝されており、185.61.138.182でホストされており、以前はjstash[.]ch、188.209.52.24で。

2019年9月25日、通常のDNSを介してジョーカーの隠し場所サーバーにアクセスしようとしました。
サーバー 185.61.138.182 と 185.61.137.166 は、ピボットに 2 つの珍しい性質を提供しました。証明書 ピボット により、同じCIDR範囲185.61.137.0/24で4つの追加のIPアドレスが識別され、上記のサーバーと同じTLS証明書のシリアル番号が使用されていました。さらに、すべての IP アドレスは「Joker's Favorite CAPTCHA」という HTTPS タイトルを共有していました。Shodan、Binary Edge、Censysのデータを調べたところ、同じHTTPSタイトル、ヘッダー、ランディングページを共有している54台のサーバーが明らかになりました。これらの IP アドレスは付録 A に記載されており、サンプル ヘッダーは付録 B に記載されています。

Joker's Stash サーバーヘッダーの例、Shodan 経由。

Reverse-IP Lookups と WHOIS ピボットを使用して、合計 543 のドメインが特定されました。ドメインは、同様の命名規則を使用していました: [English-word1]-[English-word2]-[English-word3]。[tld]です。これらのドメインは、マルウェアやフィッシング訪問者を配信するような悪意のあるものではないことに注意してください。この種のドメインは、 ブライアン・クレブスによって以前に報告されています。ドメインは、Joker's Stashの最大のクライアントが、関心のあるカードを購入、保存、取得するための専用サーバーを持つためのポータルとして機能します。Insikt Groupは、ドメインでテストトランザクションを行うことで接続を確認し、旗艦ショップのテストアカウント残高に反映されました。ドメインの大部分は、次の IP アドレスでホストされていました。

• 179.43.169.17
• 185.82.200.250
• 185.178.211.162
• 85.25.193.28
• 85.25.192.57

Joker's Stash インフラストラクチャから IP へのドメインのクラスターの例。
この研究では特定されていない、この活動に関連する追加のドメインがある可能性が非常に高いです。Recorded FutureがJoker's Stashに高い信頼度で接続したドメインは、付録Cに記載されています。

Joker's StashインフラのMaltegoマッピング
メインのジョーカーの隠し場所とは異なり、ドメインとサーバーには通常のブラウザからアクセスできます。これにより、通信事業者は、他の運用上のセキュリティ対策を講じることなく、最高の顧客により良いサービスを提供できるようになります。このインフラストラクチャはもともと、2015年から2016年の間に作成された偽のJoker's Stashドメインの品揃えを回避しながら、確認されたクライアントにアクセスを提供するために作成されました。特に、Tor経由でドメインまたはサーバーに接続すると、スプラッシュページが読み込まれ、通常のブラウザを使用してクリアネット経由でページにアクセスするようにユーザーに指示します。これは、リストが 一般的に伝播されるため、既知の Tor 出口ノードをブロックするためである可能性があります。

2019年9月25日、ジョーカーの隠し場所サーバーで出たTor警告。
ドメインのうち 464 は、上記のサーバーと同じ「511 ネットワーク認証が必要です」というエラー コードを返しました。解決された Web ページは、同じ「ジョーカーのお気に入りの CAPTCHA」ページをレンダリングしました。ただし、通常のJoker's Stash認証情報へのアクセスは許可しませんでした。 これは、それらが特定の顧客に使用されることを意味します。
これらのドメインの過去のホスティング データにより、176 の一意のサーバーが特定されました。Recorded Future は、ドメインをパーキングするレジストラから暫定的なホスティングまで、これらの大部分が信頼度が低いと評価しています。このデータは将来の相関関係に価値を提供する可能性がありますが、現時点ではジョーカーの隠し場所のインフラストラクチャの一部ではありません。
インフラストラクチャ分析のもう 1 つの要素は、ドメイン登録日の時間分析を調べることです。この方法で特定されたすべてのドメインを調べて、アナリストは、以下の「経時的なドメイン登録」(DROT)グラフで強調表示されているように、ドメイン登録日を経時的にプロットしました。私たちの調査結果に基づくと、活動の急増は2015年と2017年に発生し、これは主要な侵害、ハッキングのおおよその日付と相関しています。 これらのドメインの多くは、2019年に再アクティブ化され、継続的に使用できるようになりました。

Joker's Stash に接続されたドメインの DROT グラフ。

これらのドメインの再利用は、カーディングの顧客ベースが大きく変動していることを示しています。 たとえば、これらのドメインの多くは、 Sonic and Jason's Deli 侵害、ハッキング、およびその他の主要な支払いカード侵害、ハッキングの開示に先立って、2017 年に登録されました。 Joker's Stash は通常、新しい支払いカードのリリースを宣伝します 侵害、ハッキング かなり前もって、同様に、これらのリリースを見越してインフラストラクチャを改善することが期待される可能性があります。 Insikt Group は、Joker's Stash が Hy-Vee 侵害、ハッキング データを買収したことをめぐって、2019 年に多くのドメインが再アクティブ化されたと高い確信を持って信じています。 Insikt Group 、このインフラストラクチャは、より大きな侵害、ハッキングに関する顧客エンゲージメントを見越してスピンアップされていると理論化しています。 これらのドメインの例を以下に示します。

今後の展望

Joker's StashのSSNレコードの拡大は、小売業者、ホスピタリティ事業体、消費者に対する永続的な脅威として確固たるものとなり、不正取引の検出をますます困難にしています。 Recorded Futureは、盗まれた支払いカードデータの使いやすさと収益化により、Joker's Stashは依然として大きなリスクであると考えています。 さらに、Joker's Stash から大量のデータを購入するクライアント向けに作成されたインフラストラクチャの量は、クライアント ベースが大きいことを示しています。 さらに、PIIレコードを含めることで、あまり詳しくない個人が詐欺防止策を回避しやすくなるため、カーディングが下位の犯罪者に拡大する可能性があります。

Joker's Stashで一見正確な個人データをすぐに安価に利用できることは、支払いカードデータの損失よりも個人にさらに損害を与える可能性があります。 個人のPIIが公開されると、単に新しいカードを発行するよりもはるかに軽減が難しく、社会保障番号、母親の旧姓、生年月日、出生地などの情報は、確認方法として変更または置き換えるのがはるかに難しいため、詐欺は今後何年にもわたって被害者を追跡する可能性があります。

推奨 事項

社会保障情報、銀行の資格情報、および支払いカードは、不正行為がないか注意深く監視する必要があります。 大手銀行やクレジットカードベンダーが提供する保護は、詐欺の特定に非常に優れていますが、Recorded Futureは、カードが存在しないすべての取引に対して通知を設定するなど、支払いカードと銀行取引の継続的なレビューと監査を推奨しています。 Insikt Groupは、ストアの運営者とクライアントの浮き沈みを理解するために、新しいIPアドレスとドメインについて 、関連する付録 に記載されているJoker's Stashインフラストラクチャを引き続き監視することを推奨しています。

Recorded Futureは、ネットワーク内のユーザーが何らかの詐欺に関与していることを示している可能性があるため、ネットワーク管理者は付録AおよびCに記載されているドメインとIPアドレスを監視する必要があると考えています。

関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください。