>
연구(Insikt)

신용카드 '스니퍼'가 성장하는 이커머스 산업에 지속적인 위협이 되고 있습니다.

게시일: 2020년 8월 27일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

레코디드 퓨처는 레코디드 퓨처 플랫폼(® ), 정보 보안 보고, 기타 오픈 소스 인텔리전스(OSINT)의 최신 데이터를 분석하여 위협 행위자의 캠페인을 조장하는 스니퍼를 식별했습니다. 이 보고서는 데이터베이스 침해, 체커와 브루트 포스 , 로더와 크립터에 대한 보고서에 이어 ' 지하 경제의 자동화와 상품화 ' 보고서에서 다룬 내용을 확장한 것입니다. 이 보고서는 보안 위험 관리 및 완화를 담당하는 네트워크 방어자, 보안 연구원 및 경영진이 가장 관심을 가질 만한 보고서입니다.

Executive Summary

글로벌 비즈니스가 온라인에서 더 많은 거래를 수행하는 방향으로 전환함에 따라 위협 공격자들은 웹사이트 결제 처리 시스템 및 인터페이스의 취약점, 특히 악성 자바스크립트(JS)를 삽입하여 고객 데이터와 결제 카드 정보를 유출할 수 있는 취약점을 식별하고 악용하는 데 더 많은 투자를 하고 있습니다.

이번 보고서와 이전 레코디드 퓨처 보고서에서 강조했듯이, 웹사이트에 악성 JS 코드를 삽입하는 것은 이 기술을 사용하는 위협 행위자 그룹을 포괄적으로 지칭하는 Magecart만의 문제가 아니라 정기적으로 업데이트되고 다양한 기능을 포함하며 구매 또는 대여가 가능한 맞춤형 결제 스니퍼를 개발하는 다크웹의 여러 위협 행위자들도 판매하고 있는 것으로 나타났습니다. 이러한 스니퍼 변종은 사이버 범죄자가 손상된 결제 처리 웹사이트에서 민감한 정보를 훔치고 수집할 수 있게 해줍니다. 이러한 공격이 계속해서 수익을 창출하는 한, 이 보고서에 프로파일링된 세 가지 공격자와 같은 위협 행위자들은 업데이트된 보안 조치와 경고를 무력화할 수 있는 맞춤형 스니퍼를 계속 개발 및 판매할 가능성이 높습니다.

주요 판단

  • 다크웹 위협 행위자들은 웹사이트의 결제 프로세스에 주입된 후 인증 정보를 수집하도록 설계되고 정기적으로 업데이트되는 맞춤형 JS 스니퍼를 광고 및 판매하기 위해 상위 수준의 다크웹 소스를 사용하고 있습니다.
  • 맞춤형 스니퍼 변형에는 사용하기 쉬운 인터페이스는 물론, 손상된 데이터를 이해하기 쉬운 형식으로 정리하고, 반복되는 결제 카드 데이터를 삭제하고, 개인 식별 정보(PII)를 추출하고, 안티바이러스 설정을 무력화하는 기능 등 다양한 기능이 포함되어 있습니다.
  • 마그카트 공격의 공개적인 성공으로 인해 위협 공격자들은 계속해서 스니퍼에 관심을 가질 것이며, 다크웹 소스를 사용하여 맞춤형 스니퍼 변종을 광고하고 구매할 것입니다.

배경

오늘날의 사이버 위협 환경에서 위협 행위자는 결제 카드 번호 및 기타 개인 식별 정보(PII)를 훔칠 때 스키머와 쉬머, 판매 시점(PoS) 멀웨어, 스니퍼 등 세 가지 일반적인 전술, 기술 및 절차(TTP)를 사용합니다. 상호 교환할 수 없는 이러한 기술을 다음과 같이 정의합니다:

  • 스키머 및 쉬머: ATM, 주유기, 기타 물리적 결제 단말기 위에 삽입되거나 그 위에 놓이는 하드웨어 장치입니다. 이러한 장치는 트랙 1 및 2 결제 카드 데이터와 때로는 PIN 코드를 추출하도록 설계되었습니다.
  • POS 멀웨어: 결제 단말기를 대상으로 하며 트랙 1 또는 2 결제 데이터를 캡처하도록 설계된 악성 코드 또는 소프트웨어로, 경우에 따라 CNP( 카드 미 소지 거래)를 수행하는 데 사용될 수 있습니다. 기술적으로 PoS 멀웨어는 스니핑에 관여할 수 있지만, 이는 일반적으로 네트워크 스니핑이지 결제 스니핑이 아닙니다. 레코디드 퓨처는 최소 92개의 PoS 멀웨어 변종을 확인했습니다.
  • 스니퍼: 웹사이트의 결제 시스템에 주입되는 악성 코드(일반적으로 JavaScript(JS))로, 신용카드 뒷면의 3자리 또는 4자리 숫자인 카드 인증 값(CVV)을 비롯한 결제 카드 정보 및 기타 PII를 훔치도록 설계된 악성 코드입니다. 코드 삽입 방법에는 XSS 공격, 폼재킹, 타사 코드, 라이브러리 재사용 등이 있습니다.

온라인과 모바일 거래를 통한 판매가 증가함에 따라 위협 행위자들은 이커머스 플랫폼과 웹사이트의 결제 페이지 내 취약점을 파악하는 데 집중하고 있습니다. 특히 2020년 4월에 이커머스 매출이 49% 증가한 것으로 보고된 코로나19 팬데믹 기간 동안 위협 공격자들은 이러한 변화를 이용하려는 재정적 동기를 가지고 있습니다. 이러한 취약점과 동향은 개별 위협 행위자뿐만 아니라 2020년 7월에 미국과 유럽의 주요 온라인 소매업체 웹사이트를 공격한 것으로 확인된 북한 APT 라자루스 그룹과 같은 지능형 지속 위협(APT)에 의해서도 악용되고 있습니다.

위협 행위자가 스니퍼를 사용하면 감염된 웹사이트를 방문한 고객의 데이터를 자동으로 캡처하는 악성 JS를 삽입하여 수많은 고객의 결제 카드와 PII를 자동으로 수집할 수 있습니다. 스니퍼는 추가 처리 및 악용을 위해 손상된 데이터를 위협 행위자의 C2로 전달합니다. 위협 행위자가 전자상거래 웹사이트의 결제 페이지에서 CNP 데이터를 탈취하는 데 성공하면 이 CNP 데이터는 상품 및 서비스 구매에 사용되거나 신용카드 상점에서 판매될 수 있습니다. 위협 행위자는 유출된 CNP 데이터를 사용하여 유동성이 높은 상품이나 서비스를 구매하고, 카드 미사용 거래를 통해 직접 구매하기도 합니다.

이 보고서에서 언급했듯이, 악성 JS 인젝션을 통해 웹사이트에서 유출된 결제 인증정보를 수집하는 위협 행위자 그룹을 설명하는 포괄적인 용어인 'Magecart'는 악성 JS를 사용하는 위협 행위자 그룹 중 유일한 그룹이 아닙니다. 레코디드 퓨처는 다크 웹 소스에서 고유한 속성을 포함하고 운영자가 새로 구현한 보안 조치를 우회하기 위해 정기적으로 업데이트하는 맞춤형 스니퍼 변종을 광고하는 다크 웹 위협 행위자를 식별하고 조사했습니다.

맞춤형 스니퍼 변종과 그 배후에 있는 위협 행위자

소치

"소치"는 최소 3개의 포럼에서 활동하는 최소 두 명의 서로 다른 러시아어 사용자가 사용하는 기본 닉네임입니다: Exploit, Verified, Club2CRD. 소치는 JS 스니퍼 "Inter"와 트로이 목마 Android Red의 제작자입니다. 2019년 3월, 레코디드 퓨처는 소치의 다크웹 활동을 조사한 결과 다음과 같은 정보를 발견했습니다:

  • 소치에서 사용하는 추가 닉네임은 다음과 같습니다: "xx5"(인증됨) 및 "SSN"(Club2CRD).
  • 제공되는 범죄 활동 및 서비스에는 멀웨어 개발, 방탄 호스팅, 전자상거래 웹사이트 손상, 현금 인출, 손상된 뱅킹 자격 증명 구매 및 웹사이트 액세스, "BuyCC" 및 "LookigtoBuy" 등 다른 위협 행위자로부터 손상된 자격 증명 재판매 등이 있습니다.
  • 소치는 또한 웹사이트의 결제 양식, 아이프레임, 리디렉션 등 모든 유형의 결제 솔루션을 통해 온라인 상점에 대한 잠재적 액세스를 매입할 것을 제안했습니다. 위협 행위자는 유출된 결제 카드의 최대 85% 또는 미화 20,000달러를 1,000개의 신용카드로 교환해 주겠다고 제안합니다.

소치의 스니퍼 변종인 Inter에 대해서는 위협 행위자가 2018년 12월부터 광고를 시작했으며, 결제 플랫폼, 특히 마젠토, 오픈카트, 오스커머스는 물론 아이프레임이나 타사 결제 프로세서를 사용하는 웹사이트에서 CNP 결제 데이터를 훔치도록 설계된 범용 스니퍼라고 설명했습니다. 웹사이트의 소스 코드에서 "GetCCInfo:fuction"과 같은 다른 문자열을 검색하는 Inter의 일부 사례가 발견되었습니다.

현재 소치는 Inter 라이선스를 약 1,000달러에 판매하고 있으며, 구매 시 스니퍼의 페이로드, 사용자 설명서, 연중무휴 고객 서비스, 무료 관리자 패널 및 업그레이드가 포함되어 있습니다. Inter는 다음과 같은 기술적 역량과 기능을 갖추고 있습니다:

  • 캡처된 데이터는 제어판으로 전송되기 전에 GIF 이미지 형식으로 변환되어 GET 요청을 통해 외부로 유출할 수 있습니다.
  • 스니퍼는 SSL 연결을 방해하거나 끊지 않습니다.
  • Inter는 바이러스 백신 소프트웨어에 탐지되지 않도록 정기적으로 업데이트됩니다.

Billar

"Billar"는 2013년부터 범죄 언더그라운드에서 활동해 온 러시아어를 사용하는 위협 행위자로, "mr.SNIFFA"라는 이름으로도 활동합니다. Billar는 2019년 12월 3일 익스플로잇 포럼에서 처음 광고를 시작한 "mr.SNIFFA"라는 JS 신용 카드 스니퍼의 제작자이자 유일한 디자이너입니다.

신용 카드 스니퍼-1-1.png

**그림 1**: 2019년 12월부터 2020년 7월까지 주목할 만한 빌러 활동. (출처: 레코딩된 미래)

2020년 3월 30일, 유명 해커이자 여러 지하 커뮤니티의 회원인 'Ubercri'는 익스플로잇 포럼 회원들과 구글 검색을 통해 미스터 SNIFFA의 관리자 패널 중 일부를 찾을 수 있어 빌라의 스니퍼 변종에 감염된 비즈니스와 웹사이트를 쉽게 식별할 수 있다고 공유했습니다.

2020년 6월 29일, 숙련된 멀웨어 코더이자 침투 테스터, 리버스 엔지니어인 '레드베어'가 빌라의 운영자를 식별할 수 있는 연구 결과를 XSS 포럼에 발표했습니다. 레드베어에 따르면 빌라는 "미하일 미하일로비치 슈크로바넷"이 운영합니다. 레코디드 퓨처 분석가들은 레드베어의 연구를 검토하고 슈크로바넷을 식별하는 데 사용된 단계를 분석한 결과, 레드베어가 빌라를 식별하기 위해 취한 일부 단계가 법적 또는 윤리적이지 않았음에도 불구하고 레드베어의 연구는 완전하고 정확할 가능성이 높다고 평가했습니다.

현재 Billar는 익스플로잇 포럼에서 약 3,000달러에 미스터 SNIFFA를 광고하고 있습니다. 패키지에는 다음과 같은 기능이 포함되어 있습니다:

  • 멀웨어 코드를 수신, 구현 및 실행하는 고유한 방법
  • 브라우저 간 난독화된 데이터 전송
  • MaxMind GeoIP 통합
  • 무차별 대입 및 DDoS 공격을 방어할 수 있도록 보안이 강화된 관리자 패널
  • 연중무휴 24시간 지원 및 모든 고객의 요구에 맞는 유연성 제공

Poter

"poter"는 2014년에 일부 포럼에 처음 등록된 하위 포럼인 Monopoly뿐만 아니라 Exploit, Verified, Korovka 등 러시아어를 사용하는 여러 최상위 포럼의 회원입니다. 포터는 전자상거래, 결제 카드 사기, 자금 세탁 등 다양한 유형의 금융 사기 기법에 능숙하고 멀웨어 코딩에도 능숙하며 안드로이드, 애플, 페이팔, 비자, 선트러스트, 플래시 플레이어 및 기타 조직에 적용되는 다양한 피싱 및 사기 웹사이트, 이메일, 관리자 패널, 데이터 그래버 등을 개발한 개발자입니다.

신용 카드 스니퍼-2-1.png

**그림 2**: 다크웹에서 포터의 활동. (출처: 레코딩된 미래)

위협 행위자는 결제 카드 데이터와 피해자의 비밀번호를 훔칠 수 있는 '유니버설 스니퍼'의 개발자로 잘 알려져 있습니다. 이 스니퍼 변종은 2016년 7월 17일 익스플로잇 포럼에 처음 등장했으며 2019년 1월 10일에 동일한 위협 공격자에 의해 제거되었습니다. 포터가 유니버설 스니퍼 광고를 중단한 이유는 명확하지 않으며, 다른 위협 행위자들이 계속해서 비공개적으로 사용할 수도 있습니다.

포터에 따르면 유니버설 스니퍼는 위협 행위자가 정기적으로 업그레이드하는 다음과 같은 기본 기술 기능을 가지고 있다고 합니다:

  • JS로 작성
  • 유출된 모든 은행 식별 번호(BIN)를 확인했습니다.
  • 도난당한 결제 카드를 단일 형식으로 정리하기
  • 반복 결제 카드 삭제
  • 유출된 결제 카드에서 로그인, 비밀번호, 배송/청구 주소 탈취
  • 주별로 손상된 결제 카드 필터링

신용 카드 스니퍼 3-1.png

**그림 3**: 스니퍼 관리자 패널에 손상된 결제 카드 필드 인식 설정이 표시됩니다.

신용 카드 스니퍼-4-1.png

**그림 4**: 손상된 데이터가 있는 스니퍼 인터페이스는 날짜, IP 주소, 사용자 에이전트별로 정렬할 수 있습니다.

처음에는 포터는 스니퍼의 가격을 수천 달러로 책정했지만, 나중에 더 많은 사용자를 유치하기 위해 가격을 수백 달러로 낮췄습니다. 2018년 7월 16일, 포터는 고객이 충분하다고 발표하고 수천 달러에 달하는 스니퍼의 초기 가격을 반환했습니다.

레코디드 퓨처는 조사하는 동안 위에서 설명한 세 명의 위협 행위자가 맞춤형 스니퍼에서 검색한 손상된 카딩 데이터를 사용하거나 판매한 증거를 확인하지 못했습니다. 그러나 스니퍼의 목적이 결제 카드 정보를 훔치는 것이고 그 정보가 수익화될 때만 가치가 있다는 점을 고려하면, 카드 정보가 판매되었거나 온라인에서 상품을 구매한 후 재판매하는 데 사용되었을 가능성이 매우 높습니다. 수익 창출의 작동 방식을 보여주는 예는 Magecart의 배후에 있는 위협 행위자들이 두 가지 기술을 모두 사용하는 것입니다. 연구 결과, 마그카트 관련 인프라와 유출된 데이터는 적어도 하나의 다크웹 카드 판매 사이트인 트럼프 덤프와 연결되었으며, 위협 행위자는 도난당한 신용카드로 구매한 상품을 수령하고 재배송하는 운반책을 모집하고 있습니다.

Magecart

Magecart는 보안 연구자와 미디어가 CNP 데이터를 훔치는 데 사용되는 JS 기반 신용카드 웹 스키머로 이커머스 사이트를 노리는 다양한 위협 행위자를 그룹화하는 데 사용하는 수법입니다. 마젠토 플랫폼의 취약한 플러그인을 실행하는 사이트를 표적으로 삼는 공격자를 지칭하는 이름입니다. 플래시포인트와 리스크인큐는 마그카트가 처음에 2015년에 활동을 시작한 단일 위협 행위자 그룹이었다고 밝혔습니다. 2016년에 두 번째 뚜렷한 그룹이 관찰되었고 그 이후 더 많은 그룹이 나타났습니다. 2019년 7월 이후 메이시스, 스위티 베티, 볼루션, 클레어스 등 여러 분야에 걸쳐 소규모부터 대규모까지 모든 유형의 기업이 Magecart 관련 취약점의 피해를 입었습니다.

2018년 10월부터 이 보고서 작성 시점까지 Recorded Future 분석가들은 최소 95개의 온라인 리테일 웹사이트를 대상으로 하는 Magecart 운영자와 관련된 위협 활동을 관찰했습니다. 종종 다양한 유형의 스니퍼를 사용하는 여러 위협 행위자 그룹을 통칭하여 마그카트라고 합니다. 이 공격 벡터가 널리 퍼져 있는 것처럼 보이지만, 최소 12개의 Magecart 관련 그룹이 있고 보고된 공격이 계속되고 있다는 점을 고려하면 실제로 이러한 스니퍼를 제작, 판매 및 유지하는 위협 행위자는 소수에 불과합니다.

신용 카드 스니퍼 5-1.png

**그림 5**: 2019년 7월부터 2020년 7월까지 주목할 만한 마그카트 활동 및 공격. (출처: 레코딩된 미래)

2019년과 2020년에 걸쳐 Magecart 운영자들은 주요 표적에 도달하기 위해 타사 공급업체를 공격하는 방식에서 이커머스 웹사이트에 직접 JS 스니퍼 코드를 삽입하여 결제 데이터를 수집하고 나중에 데이터를 명령 및 제어(C2) 서버 또는 지정된 도메인으로 전송하는 방식으로 전환했습니다.

2020년 1분기 동안, 2019년 12월에 발생한 인도네시아 사법당국의 대대적인 체포에도 불구하고 마그카트 신용카드 스니핑 작업은 계속 번창하고 있습니다. 2020년 1월 27일, 인터폴은 마그카트 카드 스니핑 작전을 수행한 것으로 확인된 3명이 인도네시아 연방 경찰에 의해 체포되었다고 발표했습니다. 사법 당국에 체포에 이르는 정보를 제공한 Group-IB는 관련 Magecart 하위 그룹을 "GetBilling"이라고 명명했습니다. 또 다른 보안 회사인 Sanguine Security도 이 그룹을 추적하고 있다고 보고했습니다.

데이터 세트 내에서 이러한 샘플 도메인 중 세 개에 대한 참조가 관찰되었으며, 이전에 Sanguine Security에서 공개하지 않은 새로운 도메인 세 개가 추가로 발견되었습니다. 이 최신 캠페인과 관련된 JS 스니퍼 운영자는 손상된 리테일 웹사이트에 JS를 주입했으며, 이 캠페인 기간 동안 공통된 JS 함수 집합을 사용했습니다. 조사 기간 동안 관찰된 95개의 영향을 받은 웹사이트 중 28개는 2020년 1월에도 여전히 활발하게 감염된 상태였습니다.

위의 사건과 유사하게, "Keeper"라는 이름의 Magecart 관련 그룹(fileskeeper[.]org 도메인 사용으로 인해 웹사이트의 HTML 코드에 악성 JS를 삽입하기 위해)는 2017년 4월부터 현재까지 55개국에서 최소 570개 웹사이트에 영향을 준 64개의 공격자 및 73개의 유출 도메인을 성공적으로 운영한 것으로 Gemini Advisory에서 확인했습니다. 영향을 받은 웹사이트 중 약 85%는 콘텐츠 관리 시스템인 마젠토를 운영했으며, 레코디드 퓨처는 2018년 9월 이후 최소 10건의 검증된 악성 인시던트를 확인했습니다.

위에서 언급한 Magecart 공격의 규모, 정교함, 지속 기간으로 미루어 볼 때 Magecart 위협 행위자는 기술적으로 능숙하고 웹사이트 보안 개선에 따라 TTP를 조정할 수 있으며 웹사이트의 결제 및 콘텐츠 관리 시스템의 취약점(공개적으로 알려진 것과 알려지지 않은 것 모두)을 기회주의적으로 악용하는 것으로 나타났습니다.

전망 및 완화 전략

다크웹은 더욱 전문화되어 맞춤형 도구와 서비스를 광고하고 이러한 도구를 개선하기 위한 피드백을 제공하며, 위협 행위자가 자신의 기술력과 실력을 과시하여 금전적 보상을 얻는 데 사용되고 있습니다. 위협 행위자가 악성 JS 코드를 삽입하는 데 사용할 수 있는 다양한 공격 벡터와 Magecart 공격과 관련하여 공개적으로 알려진 금전적 성공으로 인해 위협 행위자는 취약한 웹사이트의 결제 프로세스 시스템을 계속 표적으로 삼을 뿐만 아니라 업데이트된 보안 조치 및 경고를 무력화할 수 있는 맞춤형 스니퍼를 계속 개발 및 판매할 가능성이 높습니다. 다크 웹 소스(포럼, 마켓, 암호화된 메신저)는 당분간 위협 행위자와 고객 간의 가교 역할을 계속할 것입니다.

다음은 스니퍼 공격을 탐지하고 예방하는 데 도움이 될 수 있는 완화 전략입니다:

  • 테스트 구매를 포함하여 웹사이트를 정기적으로 감사하여 의심스러운 스크립트나 네트워크 동작을 식별합니다.
  • 웹 스키밍 또는 멀웨어 방지와 같은 클라이언트 측 보호 기능을 구현하세요.
  • 결제 페이지에서 필수적이지 않은 외부 로드 스크립트가 로드되지 않도록 합니다.
  • 타사 플러그인이 전자상거래 웹사이트에서 코드, 서버 및 외부 커뮤니케이션을 사용하는 방식을 평가하고 코드 또는 동작의 변경 사항을 모니터링합니다.

관련