대규모 SSN 제공 및 지원 인프라를 통한 조커의 은닉처 업그레이드
이 보고서는 독립 연구원인 로드리고 비주(Rodrigo Bijou), 자레드 윌슨(Jared Wilson)과 공동으로 작성했습니다.
전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.
이 보고서는 오리지널 조커의 은닉처 마켓플레이스와 사용자 기반을 지원하는 데 사용되는 인프라를 식별하고 연결합니다. 이 보고서는 지하 경제를 추적하는 사람들, 신용카드 데이터 도난을 모니터링해야 하는 기업, 인프라 피벗에 관심이 있는 분석가들이 가장 관심을 가질 만한 보고서입니다. 소스에는 Recorded Future® 플랫폼, DomainTools Iris, Shodan, BinaryEdge, Censys, SecurityTrails 및 FarsightDNS와 타사 메타데이터 및 일반적인 OSINT 기술이 포함됩니다.
Executive Summary
조커의 보관함 마켓플레이스는 고객을 더 잘 지원하기 위해 상품과 인프라를 모두 발전시켰습니다. 포럼 운영자들은 카드 정보를 넘어 연락처 정보, 사회보장번호(SSN) 등 피해자에 대한 다양한 개인 식별 정보(PII)를 포함하고 있습니다. 이는 조커의 은닉처 운영자가 판매하는 데이터 유형이 증가했음을 의미합니다. 또한, 행위자들은 구매자에게 전용 도메인과 서버를 계속 제공했지만 인프라를 토르 밖으로 이전하여 인프라를 열거하고 추적할 수 있도록 했습니다.
주요 판단
조커의 은닉처 운영자는 사용자가 쉽게 접근할 수 있는 개인 식별 정보를 더 많이 포함하도록 서비스를 변경했습니다. 이 데이터의 양은 최근 몇 년 동안 증가했습니다. 이는 사기꾼이 시장을 채우는 데 영향을 받는 소비자와 리테일러에게 진화하고 지속적인 위협이 되고 있습니다.
레코디드 퓨처는 조커 스택의 인프라가 현재 위협 행위자들이 운영하는 주요 포럼을 능가하며, 500개 이상의 도메인과 54개 서버가 조커 스택에 연결되어 있다고 높은 신뢰도로 평가했습니다.
레코디드 퓨처는 대량 구매 고객에게 더 나은 지원을 제공하기 위해 조커의 은닉처와 관련된 도메인과 서버를 스핀업하여 사용 가능한 데이터의 급증에 사용하는 것에 대해 높은 신뢰도를 가지고 평가합니다.
레코디드 퓨처는 조커 스태쉬의 시장 활동이 급증한 시기가 주요 침해 사고와 맞물려 있기 때문에 위협 행위자들이 유출된 신용카드를 광고하고 판매하는 인기 있는 시장으로 남을 것이라고 높은 확신을 가지고 평가합니다.
배경
지난 5년 동안 조커 스태쉬는 타겟, 월마트, 삭스 피프스 애비뉴, 로드 & 테일러, 영국항공 등의 기업에서 데이터 유출로 도난당한 신용카드를 대거 공개하며 최고의 지하 신용카드 상점 중 하나로 자리 잡았습니다. 이러한 유출된 결제 카드 판매는 Omerta, Club2Crd, Verified 등 여러 다크웹 포럼에서 광고되고 있습니다. 2019년 8월 22일, 주유소 및 편의점 체인인 Hy-Vee에서 POS(Point-of-Sale) 유출로 의심되는 도난당한 신용카드 데이터(덤프)가 처음으로 공개되었습니다. 조커의 은닉처에는 이번 유출과 관련된 530만 개의 신용카드 번호가 저장되어 있는 것으로 추정됩니다 .
2019년 9월 30일 기준, 조커의 보관함에 나열된 뉴스 섹션.
주로 결제 카드가 유출된 것으로 알려져 있지만, 이 쇼핑몰은 PII가 첨부된 SSN 데이터베이스를 크게 확장했습니다. 이 데이터에는 포춘 500대 기업 임원, 백악관 내각 구성원, 미국 최소 35개 주의 카드 소지자에 대한 기록이 포함되어 있습니다. 레코디드 퓨처는 이러한 SSN 기록의 진위를 확인할 수 없었지만, 확인된 몇 가지 사례에서 PII가 올바른 것으로 확인되었습니다. 이 그룹은 2019년 8월부터 트위터에서 자사의 SSN 보유를 눈에 띄게 광고하고 있습니다.
조커의 은닉처 마켓플레이스에서 SSN을 검색한 결과입니다.
리스팅 분석
이제 조커의 은닉처 마켓은 덤프, 카드, SSN의 세 가지 주요 섹션으로 나뉩니다. 덤프와 카드는 모두 도난당한 결제 카드 데이터와 관련이 있으며, 덤프는 결제 카드의 마그네틱 띠에 있는 트랙 2(경우에 따라 트랙 1) 데이터를 의미합니다. 카드에는 결제 카드 번호, 만료일, CVV 번호 등 카드 미소지 거래와 관련된 전체 데이터와 온라인 구매 시 결제 카드 소유자가 일반적으로 제공하는 기타 정보가 포함됩니다. SSN 섹션은 신용카드 데이터의 상대적으로 짧은 유용성에 비해 더 지속적인 사기 벡터를 제공함으로써 시장에 심각한 변화를 가져왔습니다. Joker's Stash는 이름과 성, 그리고 "생년월일" 또는 "주"와 같은 최소 하나의 다른 식별자로 검색 가능한 포괄적인 개인 정보를 기록당 5달러에 제공합니다. 레코드가 아직 사용 가능하고 구매하지 않은 경우 웹사이트에 '구매' 버튼이 표시됩니다. '구매하기에는 너무 늦음'으로 표시된 레코드는 이미 다른 위협 행위자가 구매하여 사용 중일 가능성이 높습니다.
2019년 9월 30일 기준, 조커의 보관함에서 주민등록번호 검색 기능이 추가되었습니다.
SSN은 일괄적으로 검색할 수 있으며 위치별로 필터링할 수 있습니다. 최근 주소와 우편번호를 포함한 추가 PII를 사용하면 사기범이 특정 지역을 타겟팅할 수 있어 지역 은행, 신용 조합 또는 소규모 소매 체인을 대상으로 한 사기가 용이해질 가능성이 있습니다. 이 데이터에 쉽게 액세스할 수 있다는 점이 특히 문제가 됩니다. 레코디드 퓨처가 알고 있는 가장 유명한 마켓이나 포럼에서 대량으로 SSN을 판매하고 있습니다. 또한 데이터 세트 전반에 걸쳐 이러한 강력한 검색 기능을 제공하는 최초의 포럼이기도 합니다.
주민등록번호 일괄 검색, 2019년 9월 30일 기준.
포럼 심사없이 액세스할 수 있는 SSN을 도입하면 신원 도용의 진입 장벽이 크게 낮아집니다. 조커의 은신처에서 SSN을 판매하면 신원 도용과 금융 데이터 도난으로 탐지를 피할 수 있지만, 저급한 시도를 조장할 가능성도 매우 높습니다. 이렇게 하면 은행과 금융 기관이 완전히 정확한 PII로 요청할 때 사기 여부를 판단하는 데 많은 문제가 발생할 수 있습니다.
조커의 은신처 인프라 추적하기
조커 스택의 운영자는 난독화된 액세스 방법을 사용하는 마켓 외에도 클리어넷의 인프라에 의존해 왔습니다. 조커 스태시는 2017년 토르 마켓플레이스와 함께 브라우저 확장 프로그램을 통해 블록체인 DNS 사용을 구현하여 신규 고객의 접근 장벽을 낮췄습니다. 블록체인 DNS를 사용하려면 다양한 최상위 도메인(TLD)에 대한 모든 DNS 데이터를 로컬에 저장하는 브라우저 확장 프로그램을 다운로드해야 합니다. 호스팅 데이터는 주류 DNS 공급업체가 관리하거나 이들과 공유하지 않고 P2P 네트워크를 통해 관리됩니다. 서비스의 P2P 특성으로 인해 조커의 은닉처 마켓플레이스는 DNS 당국의 테이크다운이나 싱크홀링에 더욱 취약합니다.
인식트 그룹은 조커의 은닉처에 연결된 49개의 서버와 543개의 도메인을 높은 신뢰도로 식별할 수 있었습니다. jstash[.]bazar에 액세스하려면 블록체인 DNS 브라우저 확장 프로그램이 필요합니다, 하지만 블록체인 DNS는 다른 웹 페이지에 jstash[.]bazar의 IP 주소를 게시하여 탈중앙화 DNS가 제공하는 잠재적인 난독화를 우회했습니다.
이 그룹은 레딧, 트위터, 페이스트사이트 및 기타 카딩 포럼에서 소셜 미디어 계정으로 추정되는 여러 도메인을 통해 광고했습니다. 조커의 은신처와 관련된 세 가지 도메인이 있습니다:
대표적인 조커의 은닉처 상점인 jstash[.]bazar는 블록체인 DNS 브라우저 확장 프로그램을 통해서만 액세스할 수 있습니다. 그러나 이 도메인은 IP 주소 185.61.137.166에서 호스팅되는 것으로 확인되었습니다.
jstash[.]ch는 조커의 은닉처 핸들에 의해 카딩 포럼에서 광고되었지만 188.209.52.24 서버에서 공개 인터넷에서 작동합니다.
jstash[.]de는 Reddit에 광고되었으며 185.61.138.182에서 호스팅되며 이전에는 188.209.52.24의 jstash[.]ch와 동일한 서버에서 호스팅되었습니다.
2019년 9월 25일에 일반 DNS를 통해 조커의 은닉처 서버에 접속을 시도했습니다.
185.61.138.182 및 185.61.137.166 서버는 피벗을 위해 두 가지 특이한 특성을 제공했습니다. 인증서 피벗을 통해 동일한 CIDR 범위인 185.61.137.0/24에 있는 4개의 추가 IP 주소를 확인했으며, 위에서 언급한 서버와 동일한 TLS 인증서 일련 번호를 사용했습니다. 또한 모든 IP 주소는 HTTPS 제목을 공유했습니다: "조커가 가장 좋아하는 캡챠." 쇼단, 바이너리 엣지, 센시스 데이터를 피벗한 결과 동일한 HTTPS 제목, 헤더, 랜딩 페이지를 공유한 서버가 54개에 달했습니다. 이러한 IP 주소는 부록 A에서 확인할 수 있으며, 샘플 헤더는 부록 B에서 확인할 수 있습니다.
쇼단을 통한 조커의 Stash 서버 헤더 예시.
역방향 IP 조회 및 WHOIS 피벗을 사용하여 총 543개의 도메인을 식별했습니다. 도메인은 비슷한 명명 규칙을 사용했습니다: [English-word1]-[English-word2]-[English-word3].[tld]. 이러한 도메인은 멀웨어를 전달하거나 방문자를 피싱하는 방식으로 악의적이지 않다는 점에 유의해야 합니다. 이러한 성격의 도메인은 이전에 브라이언 크렙스가 보고한 바 있는데, 이 도메인은 조커 스태쉬의 최대 고객이 관심 있는 카드를 구매, 저장, 검색할 수 있는 전용 서버를 보유할 수 있는 포털 역할을 합니다. 인식트 그룹은 도메인에서 테스트 거래를 수행하여 연결을 확인했으며, 이는 플래그십 스토어에서 테스트 계정 잔액에 반영되었습니다. 대부분의 도메인은 다음 IP 주소에서 호스팅되었습니다:
179.43.169.17
185.82.200.250
185.178.211.162
85.25.193.28
85.25.192.57
조커의 스태시 인프라의 IP에 대한 도메인 클러스터의 예시입니다.
이 조사에서 확인되지 않은 이 활동과 관련된 추가 도메인이 있을 가능성이 매우 높습니다. 조커의 은닉처에 높은 신뢰도로 연결된 미래를 기록한 도메인은 부록 C에 나와 있습니다.
조커의 은신처 인프라에 대한 Maltego 매핑.
메인 조커의 은신처 상점과 달리 도메인과 서버는 일반 브라우저를 통해 액세스할 수 있습니다. 이를 통해 운영자는 다른 운영 보안 조치 없이도 우수 고객에게 더 나은 서비스를 제공할 수 있습니다. 이 인프라는 원래 2015년부터 2016년 사이에 생성된 가짜 조커의 은닉처 도메인을 피하면서 확인된 클라이언트에게 액세스 권한을 제공하기 위해 생성되었습니다. 특히 토르를 통해 도메인이나 서버에 연결하면 스플래시 페이지가 로드되어 사용자에게 일반 브라우저를 사용하여 클리어넷을 통해 페이지에 액세스하라는 메시지가 표시됩니다. 이는 일반적으로 목록이 전파되기 때문에 알려진 토르 출구 노드를 차단하기 위한 것일 수 있습니다.
2019년 9월 25일, 조커의 은신처 서버에서 토르 경고가 발생했습니다.
도메인 중 464개에서 위에서 언급한 서버와 동일한 "511 네트워크 인증 필요" 오류 코드가 반환되었습니다. 해결된 웹 페이지는 동일한 "조커가 좋아하는 캡차" 페이지를 렌더링했지만, 정상적인 조커의 보관함 자격 증명에 대한 액세스 권한은 부여하지 않았습니다. 이는 특정 고객을 위해 사용된다는 것을 의미합니다.
이러한 도메인의 과거 호스팅 데이터에서 176개의 고유 서버가 확인되었으며, Recorded Future는 도메인을 파킹하는 등록기관부터 임시 호스팅에 이르기까지 이들 중 상당수를 신뢰도가 낮은 것으로 평가했습니다. 이 데이터는 향후 상관관계에 대한 가치를 제공할 수 있지만, 현재는 조커의 은닉처 인프라에 포함되지 않습니다.
인프라 분석의 또 다른 요소는 도메인 등록 날짜에 대한 시간 분석을 살펴보는 것입니다. 이 방법을 통해 식별된 모든 도메인을 살펴본 분석가들은 아래 '시간 경과에 따른 도메인 등록(DROT)' 그래프에서 강조 표시된 것처럼 시간 경과에 따른 도메인 등록 날짜를 플로팅했습니다. 조사 결과에 따르면 2015년과 2017년에 활동량이 급증했으며, 이는 주요 침해 사고가 발생한 대략적인 날짜와 관련이 있습니다. 이러한 도메인 중 상당수는 2019년에 다시 활성화되어 지속적으로 사용되고 있습니다.
조커의 은닉처에 연결된 도메인에 대한 DROT 그래프.
이러한 도메인의 재사용은 카드 발급 고객층이 대규모 침해 사고를 중심으로 변동한다는 것을 보여줍니다. 예를 들어, 이러한 도메인 중 상당수는 소닉 및 제이슨 델리 침해 사건과 기타 주요 결제 카드 침해 사건이 공개되기 전인 2017년에 등록되었습니다. 조커의 은신처는 일반적으로 새로운 침해 사고로 인한 새로운 결제 카드의 출시를 훨씬 앞서 홍보하며, 이와 유사하게 이러한 출시를 예상하여 인프라를 개선할 것으로 예상할 수 있습니다. 인식트 그룹은 2019년에 조커 스태쉬가 Hy-Vee 침해 데이터를 인수한 것과 관련하여 여러 도메인이 다시 활성화되었다고 확신합니다. 인식트 그룹은 이 인프라가 더 큰 규모의 침해 사고에 대한 고객 참여를 예상하여 가동된다고 이론화합니다. 이러한 도메인의 예는 아래에서 확인할 수 있습니다.
| canoe-hill-face[.]com | sustain-swim-robot[.]in | evidence-way-certain[.]org |
| eternal-seek-banner[.]com | wonder-abuse-sure[.]org | crater-wait-hazard[.]org |
| 희망-투-어퍼[.]닷컴 | 타워-프로젝트-비정상[.]org | 러그 속성 슬로건[.]net |
| spawn-mind-arrest[.]com | taxi-van-rich[.]org | profit-minor-dash[.]net |
| swarm-upset-voyage[.]com | stick-inject-organ[.]org | 니어펄스-블러[.]인 |
| 전쟁-기업-인식[.]정보 | moon-joy-drum[.]org | better-electric-rabbit[.]in |
| 시간-죽음-피크닉[.]pw | month-three-manual[.]org | 랍스터-라이벌-믹스[.]정보 |
전망
조커 스태쉬의 SSN 기록 확장은 소매업체, 숙박업체, 소비자에게 지속적인 위협으로 자리 잡았으며, 사기 거래 탐지를 더욱 어렵게 만들고 있습니다. 레코디드 퓨처는 조커 스태쉬가 도난당한 결제 카드 데이터를 쉽게 사용하고 수익화할 수 있기 때문에 상당한 위험으로 남을 것으로 보고 있습니다. 또한, 조커의 보관함에서 대량의 데이터를 구매하는 고객을 위해 생성된 인프라의 양은 고객 기반이 크다는 것을 나타냅니다. 또한, PII 기록이 포함되면 덜 정교한 개인이 사기 방지 조치를 더 쉽게 우회할 수 있기 때문에 저급 범죄자까지 카드 발급이 확대될 가능성이 높습니다.
조커의 은닉처에서 정확해 보이는 개인 데이터를 쉽고 저렴하게 이용할 수 있다는 것은 결제 카드 데이터 손실보다 개인에게 훨씬 더 큰 피해를 줄 수 있습니다. 한 번 유출된 개인 식별 정보는 단순히 카드를 새로 발급하는 것보다 완화하기가 훨씬 어렵고, 사회보장번호, 어머니의 결혼 전 이름, 생년월일, 출생지 등의 정보는 인증 수단으로 변경하거나 대체하기가 훨씬 어렵기 때문에 사기가 피해자를 오랫동안 따라다닐 수 있습니다.
권장 사항
사회보장정보, 은행 자격증명, 결제 카드에 대한 사기 행위는 면밀히 모니터링해야 합니다. 주요 은행과 신용카드 공급업체에서 제공하는 보호 기능은 사기를 식별하는 데 매우 효과적이지만, Recorded Future는 모든 카드 미사용 거래에 대한 알림을 설정하는 등 결제 카드 및 은행 거래에 대한 지속적인 검토와 감사를 권장합니다. 인사이트 그룹은 스토어 운영자와 클라이언트의 썰물과 흐름을 파악하기 위해 관련 부록에 나열된 조커의 은닉처 인프라에서 새로운 IP 주소와 도메인을 지속적으로 모니터링할 것을 권장합니다.
레코디드 퓨처는 네트워크 관리자가 부록 A와 C에 나열된 도메인과 IP 주소를 모니터링해야 한다고 생각하며, 이는 네트워크의 사용자가 일종의 사기에 연루되어 있음을 나타낼 수 있기 때문입니다.
관련 보안 침해 지표의 전체 목록을 보려면 부록을 다운로드하세요.
관련