駭客組織 Lazarus Group 利用 Magecart 側錄攻擊從歐盟和美國站點竊取信用卡數據…

總部位於荷蘭的安全公司 Sansec 研究人員稱，自 2019 年 5 月以來，臭名昭彰的北韓駭客組織 Lazarus Group 至少對數十家電子商務商店進行了攻擊，其中包括最近對美國飾品零售商Claire’s 的高調攻擊。

北韓 Lazarus Group 又名 Hidden Cobra，為了使側錄攻擊業務獲利，開展了全球滲透網路，劫持並利用了合法的網站進行成犯罪活動。網路罪犯使用網路惡意腳本，從結帳頁面複製敏感的信用卡數據。在調查信用卡盜竊案時，Sansec 的研究人員發現竊取者進行了網路魚叉式釣魚攻擊，而將他們共享的基礎架構以及程式碼中各種特徵關聯起來，最後將這個對信用卡的側錄攻擊歸咎於北韓的 Lazarus Group。

受害者包括飾品巨頭 Claire’s, 黃氏珠寶商（Wongs Jewellers）, Focus Camera, Paper Source, Jit Truck, CBD Armour, Microbattery and Realchems 等數十家商店。

Lazarus Group 以已滲透的網路用來匯集被盜資產，以便在暗網上出售。為了掩蓋自己的踪跡，他們破壞了合法企業的網站，並轉存被盜的信用卡資料。根據 Sansec 的調查結果，Lazarus Group 劫持了位於意大利模特經紀公司（Lux Model Agency）的網站，位於新澤西州的一家書店，以及位於德黑蘭的一家老式音樂商店。

註冊與受害者商店相似的域名這個策略似乎為 Lazarus Group 帶來成果。已經確定最近的側錄活動與先前記錄的北韓駭客活動之間存在多個獨立的聯繫。下圖顯示綠色為受害者的存儲區，紅色表示受 Lazarus Group 控制的滲透節點。黃色表示其操作方式（或TTP）。

研究人員將滲透網域與北韓的網路攻擊聯繫在一起, 並稱 Lazarus Group 在網路釣魚事件發生後分發惡意軟體進行攻擊：

technokain.com（釣魚活動1，2）

darvishkhan.net（垃圾郵件活動 1，2）

areac-agr.com（從 Dacls RAT 的伺服器下載）

papers0urce.com（與 areac-agr.com 共用 IP，在 Dacls 示例中進行硬編碼）

最初的滲透節點是 Lux Model Agenc y網站，但該惡意軟體在 24小 時內消失，並在一周後重新出現在同一家商店中。但這一次，惡意軟體進入了新澤西的一家書店。

在幾個月中，相同的惡意腳本使用以下被劫持的站點加載並收集被盜的信用卡，進而感染了數十家商店：

stefanoturco.com（在2019-07-19和2019-08-10之間）

technokain.com（在2019-07-06和2019-07-09之間）

darvishkhan.net（在2019-05-30和2019-11-26之間）

areac-agr.com（在2019-05-30和2020-05-01之間）

luxmodelagency.com（介於2019-06-23和2020-04-07之間）

Signedbooksandcollectibles.com（在2019-07-01和2020-05-24之間）

後記: 有關北韓發起的 Magecart 側錄攻擊的消息表示著，專制政權正在使用另一種策略來填補其國庫。Lazarus 的名字很大程度上與加密貨幣交易所和銀行的網路攻擊有關，這是第一次被指控針對零售商店。根據安全公司 Group-IB 的報告，Lazarus 在 2017 年至 2018 年間，成功竊取了價值6億美元的加密貨幣。

竣盟科技官網:

https://www.billows.com.tw/

竣盟科技line@

參考資料：

Source: https://www.bleepingcomputer.com/news/security/north-korean-hackers-linked-to-credit-card-stealing-attacks-on-us-stores/

*****竣盟科技快報歡迎轉載，但請註明出處。

資安研究人員近日揭露了針對“大型航空公司和軍事企業”的網路間諜釣魚和惡意軟體活動，相信該活動是由 2014 年攻擊 Sony Pictures 的同一北韓駭客集團 Lazarus Group 發起的.

網路資安研究人員周三表示，駭客冒充美國航空和國防巨頭 Collins Aerospace 和 General Dynamics 的 HR 招募人員，在 LinkedIn 上闖入歐洲的軍事承包商網路。

斯洛伐克的網路安全公司 ESET 說，在去年年底時, 網路間諜透過提供美國公司的工作機會來接觸受害者，從而破壞了中東和歐洲至少兩家國防和航空公司的系統。

ESET 威脅研究負責人 Jean-Ian Boutin 說，攻擊者利用 LinkedIn 的私人訊息功能，發送能誘騙受害者打開惡意代碼的文件。

ESET 以客戶機密為由，拒絕透露受害者的名字，也不透露是否有任何資料被盜。雷神科技公司 Raytheon Technologies Corporation 所擁有的 General Dynamics 和 Collins Aerospace 也拒絕評論。

ESET 無法 100% 確定駭客的身份，但表示此次攻擊與一個名為北韓駭客集團 Lazarus Group 有一定關聯，該組織被美國檢察官指控策劃了一系列針對性的網路攻擊，其中包括 Sony Pictures 和孟加拉中央銀行的搶案。

研究人員說，一旦進入目標網路，犯罪者將試圖強行使用他們可以找到的任何 Active Directory 管理員帳戶，通過將數據捆綁到 RAR 壓縮檔中，並試圖將其上傳到 Dropbox 帳戶中以竊取數據。

在受害者被捲入後，Lazarus 會試圖誘使他們下載受密碼保護的 RAR 存檔，其中包含“ LNK 文件”。一旦點擊該 LNK 文件包含工作資料的 PDF 就會出現在受害者面前。受害者其實是下載了一個惡意執行檔 (.EXE)，這個執行檔會建立許多文件夾，並在 Windows 工作排程器設定為每隔一段時間執行一次遠端腳本。

圖片來源: ESET , 這使攻擊者可以在目標公司內部獲得最初的立足點，並在受到感染的電腦上獲得持久性，圖片說明了導致入侵的步驟。

攻擊者要求受害者在使用 Internet Explorer 的 Windows 電腦上回應他們的工作機會。駭入後進到 Powershell，並利用了預設公開可用的 PowerShdll 執行 PowerShell 命令，這也間接證明 Lazarus Group 在嘗試進行暴力破解之前，會先透過連接的 domain 來列舉所有 Active Directory 帳戶，接下來就是暴力破解取得管理員權限。

另外，這些攻擊並不是 LinkedIn 首次被國際間諜活動所困擾，對手使用 LinkedIn 來挑選軍事和國防公司的目標，隨後向他們提供假的工作機會。攻擊者不怕直接接觸，並與受害者聊天，說服他們打開惡意文件。

LinkedIn表示已找出並刪除了攻擊者使用的帳戶。該公司的資安負責人 Paul Rockwell 說：“我們積極尋找平台上由國家級駭客的活動的跡象，並迅速採取行動對付不良行為者。

關於這起間諜攻擊的資安事件, OTX 的情資平台也有相關的 MITRE ATT&CK 攻擊手法和相關情資, 請點擊以下連結

https://otx.alienvault.com/pulse/5eea47f6776f5e41c8346a31

另外也附上Lazarus Group的相關情資

https://otx.alienvault.com/pulse/5ebaee4cb570b4824f773f44

參考來源:

https://www.welivesecurity.com/wp-content/uploads/2020/06/ESET_Operation_Interception.pdf

https://www.techtimes.com/articles/250404/20200617/hackers-hacking-campaign-targets-aerospace-and-military-staff-with-cyberattackers-posing-as-hr-offering-fake-jobs.htm

在吹哨人 Libertas 向 IT 部落客 Haschek 和德國媒體 Heise.de 投信揭發並曝光後，奧地利最大的網際網路服務提供商 A1 Telekom，本周承認存在安全漏洞。A1 Telekom 在去年 11月發現網路受惡意軟體感染, 但資安團隊在 12月才檢測到確切的惡意軟體, 同時發現該惡意軟體難以移除, 致使他們花了六個月才能將該惡意軟體連根拔起並取回 Web 伺服器的控制權。

A1 Telekom是奧地利最大的電信公司之一，他們擁有包括 FTTH 連接在內的各種 IT 基礎架構業務。他們的年收約為 25億歐元，擁有 8,300 多名員工。A1 Telekom 在向奧地利的多個偏遠地區提供行動電話連接和 Internet 服務, 實際上具有壟斷性的地位。

在 2019年 12發現了駭客透過利用未公開的 Microsoft 產品漏洞, 設法破壞了 A1 的企業網路。由於 A1 內部回應團隊未能及時做出有效回應，故當他們在2020年5月22日方能阻止漏洞時，時間已經過了六個月。據報導在 A1 Telekom 被駭客攻擊的事件中，駭客組織利用惡意軟體感染了 Web 伺服器並安裝了 Web Shell。 從此之後，他們就可以任意安裝其他工具，以便他們在 A1 網路探索游走。

A1 Telekom 在接受在德國新聞網站 Heise.de 的採訪中表示，儘管持續了六個多月相當嚴重的漏洞影響，但攻擊者”並未獲得任何客戶的敏感數據。” A1 稱內部網路的複雜性阻止了駭客訪問他們的其他系統，“因為成千上萬的數據庫及其關係對於外部人員而言並不容易理解”

至於被洩露了什麼樣的數據? 消息人士稱，駭客訪問了公司的內部和一些外部客戶數據庫。 吹哨者說，駭客總共可以訪問 12,000台伺服器，但遭 A1 否認並稱攻擊者只能訪問「一個不包含任何客戶數據的 SQL 數據庫」。 A1也聲稱儘管駭客在六個月內對系統持續不間斷的訪問，但從未訪問或洩露過任何敏感的客戶端數據。

後記: 相信是出自於外交的考慮，A1 Telekom 並未指明這次攻擊事件駭客的身份。但根據吹哨者透露這次資安漏洞是由中國國家級 Gallium 駭客組織引起, Microsoft 威脅情資中心(MSTIC) 在 2019年 12月 12日發佈了關於 Gallium 駭客組織的安全警報，警告電信業者提高警覺, 因為可能將要面臨著大規模的持續攻擊行動。而眾所周知，Gallium 駭客組織會在已被入侵的電信公司中, 搜尋所有範圍內的機密資料。

參考來源:

• https://www.zdnet.com/article/hackers-breached-a1-telekom-austrias-largest-isp/

• https://blog.haschek.at/2020/the-a1-telekom-hack.html

*****本文歡迎轉載，但請註明出處。