온라인 주문 플랫폼에 대한 마그카트 공격이 증가하는 가운데, 최근 311개 레스토랑을 감염시키는 캠페인이 발생했습니다.

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

위협 행위자는 이커머스 웹사이트를 Magecart e-스키머로 감염시켜 온라인 쇼핑객의 결제 카드 데이터, 청구 정보 및 개인 식별 정보(PII)를 훔칩니다. 이러한 위협에 대응하기 위해 레코디드 퓨처의 마그카트 오버워치 프로그램은 수십만 개의 이커머스 웹사이트를 모니터링하여 전자 스키머 감염 여부를 파악합니다. 이 보고서에서는 최근 3개의 레스토랑 온라인 주문 플랫폼을 대상으로 한 2건의 Magecart 캠페인을 통해 311개 레스토랑의 온라인 거래가 노출된 사례를 자세히 설명합니다. 대상은 금융 기관의 사기 및 사이버 위협 인텔리전스(CTI) 팀과 이커머스 보안 전문가입니다.

Executive Summary

레스토랑용 온라인 주문 플랫폼을 통해 고객은 온라인으로 음식을 주문할 수 있고 레스토랑은 주문 시스템 개발의 부담을 덜 수 있습니다. Uber Eats, DoorDash와 같은 최고급 온라인 주문 플랫폼이 시장을 장악하고 있지만, 소규모 지역 레스토랑에 서비스를 제공하는 수백 개의 소규모 온라인 주문 플랫폼도 존재하며, 소규모 플랫폼의 경우에도 수백 개의 레스토랑을 고객으로 확보하고 있을 수 있습니다. 그 결과, 온라인 주문 플랫폼은 일반적으로 단일 온라인 주문 플랫폼을 침해하면 해당 플랫폼을 사용하는 레스토랑의 상당수에서 수행된 온라인 거래가 노출되기 때문에 Magecart e-스키머 공격을 수행하는 위협 공격자들에게 높은 가치를 지닌 표적이 되었습니다.

최근 3개의 개별 플랫폼을 사용하여 레스토랑의 온라인 주문 포털에 전자 스키머 스크립트를 삽입한 2개의 개별 진행 중인 Magecart 캠페인을 확인했습니다: 메뉴드라이브, 하버터치, 인터치포스. 3개 플랫폼 모두에서 최소 311개의 레스토랑이 Magecart 전자 스키머에 감염되었으며, 추가 분석을 통해 이 숫자는 더 늘어날 것으로 보입니다.

이러한 레스토랑 웹사이트의 Magecart 전자 스키머 감염으로 인해 고객의 결제 카드 데이터와 PII(결제 정보 및 연락처 정보)가 노출되는 경우가 많습니다. 현재까지 감염된 레스토랑에서 유출되어 다크웹에 판매용으로 게시된 5만 건 이상의 유출된 결제 카드 기록을 이미 확인했습니다.

주요 연구 결과

• 온라인 주문 플랫폼인 메뉴드라이브와 하버터치도 동일한 마그카트 캠페인의 표적이 되어 메뉴드라이브를 사용하는 80개 레스토랑과 하버터치를 사용하는 74개 레스토랑에서 전자 스키머 감염이 발생했습니다. 이 캠페인은 늦어도 2022년 1월 18일 이전에 시작된 것으로 보이며, 이 보고서를 작성하는 현재 일부 레스토랑이 감염된 상태이지만 캠페인에 사용된 악성 도메인(authorizen[.]net)은 여전히 남아 있습니다. 은 2022년 5월 26일부터 차단되었습니다.
• 온라인 플랫폼 InTouchPOS는 이와 무관한 별도의 Magecart 캠페인의 표적이 되어 이 플랫폼을 사용하는 157개 레스토랑에서 전자 스키머 감염이 발생했습니다. 이 캠페인은 2021년 11월 12일부터 시작되었으며, 이 보고서를 작성하는 현재 일부 레스토랑이 감염된 상태이고 악성 도메인(bouncepilot[.]net 및 pinimg[.]org)이 남아 있습니다. 활성 상태를 유지합니다.
• 저희는 이 311개 레스토랑에서 훔쳐내 다크웹에 판매용으로 게시한 5만 개 이상의 결제 카드 기록을 확인했습니다. 이러한 레스토랑에서 유출된 추가 기록이 다크웹에 판매용으로 게시되어 있을 가능성이 높으며, 앞으로도 계속 게시될 것입니다.
• InTouchPOS를 대상으로 하는 캠페인과 관련된 전술, 기술 및 절차(TTP) 및 침해 지표(IOC)는 중앙 집중식 온라인 주문 플랫폼을 사용하지 않는 전자상거래 웹사이트를 대상으로 하는 다른 캠페인의 전술, 기술 및 절차 및 침해 지표와 일치합니다. 이 관련 캠페인은 2020년 5월부터 400개 이상의 이커머스 웹사이트를 감염시켰으며, 2022년 6월 21일 현재 30개 이상의 웹사이트가 여전히 감염된 상태입니다.

배경

사이버 범죄자들은 종종 최소한의 작업으로 가장 높은 보상을 받으려고 합니다. 이 때문에 사이버 범죄자들은 레스토랑의 온라인 주문 플랫폼을 표적으로 삼고 있으며, 하나의 플랫폼이 공격당하면 수십, 수백 개의 레스토랑의 거래가 손상될 수 있어 사이버 범죄자들은 실제로 해킹하는 시스템 수에 비례하여 방대한 양의 고객 결제 카드 데이터를 훔칠 수 있습니다. 코로나19 팬데믹으로 인해 레스토랑의 외식 옵션이 제한되면서 온라인 주문이 급증하여 이러한 상황이 더욱 악화되었습니다.

2021년 5월에는 Grabull, EasyOrdering, eDiningExpress 등 5개의 레스토랑 온라인 주문 플랫폼에서 침해가 발생했다고 보고했습니다. 후자의 두 플랫폼(그리고 MenuDrive, Harbortouch, InTouchPOS)은 모두 플랫폼에서 운영하는 도메인에서 호스팅되는 레스토랑 전용 주문 애플리케이션을 제공한다는 점에서 비슷한 방식으로 운영됩니다. 결과적으로 위협 행위자가 특정 온라인 주문 플랫폼의 공유 라이브러리에 무단으로 액세스하는 경우, 이러한 판매자가 동일한 공유 라이브러리를 사용하는 경우가 많기 때문에 서버 측 스크립트를 수정하여 한 번의 침해로 수많은 판매자에게 영향을 미칠 수 있습니다.

이 가장 최근의 공격은 Harbortouch의 첫 번째 침해가 아닙니다. 2015년, 하버터치는 데이터 유출로 인해 불특정 다수의 레스토랑이 노출된 사실을 인정했으며, 사이버 보안 블로그 크렙스 온 시큐리티는 하버터치 소프트웨어를 실행하는 최소 4,200개의 매장이 피해를 입었다고 보도했습니다.

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.