2020年8月，Group-IB發(fā)布了一份名為《UltraRank: the unexpected twist of a JS-sniffer triple threat 》的報(bào)告。該報(bào)告描述了網(wǎng)絡(luò)犯罪集團(tuán)UltraRank的活動(dòng)，該集團(tuán)在5年的活動(dòng)中成功攻擊了691家電子商務(wù)商店和13家網(wǎng)站服務(wù)提供商。

[[361075]]

2020年11月，Group-IB專家發(fā)現(xiàn)了新一輪的UltraRank攻擊。盡管當(dāng)時(shí)發(fā)現(xiàn)了新的攻擊，但該組織的部分基礎(chǔ)設(shè)施仍處于活躍狀態(tài)，一些網(wǎng)站仍受到感染。網(wǎng)絡(luò)犯罪分子并沒有使用現(xiàn)有的域名進(jìn)行新的攻擊，而是切換到新的基礎(chǔ)設(shè)施來存儲(chǔ)惡意代碼并收集被攔截的支付數(shù)據(jù)。

作為UltraRank新活動(dòng)的一部分，Group-IB威脅情報(bào)和分析團(tuán)隊(duì)發(fā)現(xiàn)了12個(gè)被JavaScript嗅探器感染的電子商務(wù)網(wǎng)站，他們中的八個(gè)在發(fā)布之時(shí)仍然受到感染。

這次，使用Radix模糊處理對(duì)JS嗅探器的代碼進(jìn)行模糊處理。這種模糊模式只有少數(shù)網(wǎng)絡(luò)犯罪集團(tuán)使用過，其中一個(gè)是UltraRank組(圖1)。在對(duì)代碼進(jìn)行模糊處理后，Group-IB發(fā)現(xiàn)攻擊使用了SnifLite系列的嗅探器，該嗅探器已為Group-IB專家所熟知，并且被攻擊者UltraRank使用。由于受感染網(wǎng)站的數(shù)量相對(duì)較少，攻擊者最有可能使用了CMS管理面板中的憑據(jù)，而這些憑證反過來又可能被惡意軟件或暴力破解攻擊破壞。

在最近的一系列攻擊中，UltraRank模仿合法的谷歌標(biāo)簽管理器域?qū)阂獯a存儲(chǔ)在網(wǎng)站上。對(duì)攻擊者基礎(chǔ)設(shè)施的分析顯示，主服務(wù)器由Media Land LLC托管。

本文研究了UltraRank的新活動(dòng)，為銀行、支付系統(tǒng)和在線商戶提供推薦。你還可以根據(jù)我們建議用來防止UltraRank的MITER ATT&CK和MITER Shield找到威脅，攻擊者的TTP以及相關(guān)的緩解和防御技術(shù)的指標(biāo)。

被模糊的嗅探器代碼片段

JS 嗅探器代碼分析

從至少2019年1月開始，UltraRank就開始使用SnifLite JS嗅探器系列，當(dāng)時(shí)它被用于攻擊廣告網(wǎng)絡(luò)Adverline。惡意代碼通過位于hXXp://googletagsmanager網(wǎng)站上的一個(gè)JS文件鏈接上傳到受感染的網(wǎng)站。該域名偽裝成谷歌標(biāo)簽管理器googletagmanager.com的合法域名。攻擊者網(wǎng)站hXXp://googletagsmanager[.]co/也被用來收集截獲的支付卡數(shù)據(jù)作為嗅探器(圖2)。

經(jīng)過模糊處理的JS嗅探器代碼的片段，并帶有到嗅探器的鏈接以收集被攔截的卡

圖3中顯示了負(fù)責(zé)攔截SnifLite嗅探器系列中的付款信息的函數(shù)，數(shù)據(jù)收集算法基于該函數(shù)querySelectorAll，就像該組織之前使用的FakeLogistics和WebRank 嗅探器系列一樣。收集數(shù)據(jù)后，會(huì)將數(shù)據(jù)寫入名為google.verify.cache.001的對(duì)象的本地存儲(chǔ)中。

JS嗅探器代碼片段，包含一個(gè)負(fù)責(zé)收集支付卡數(shù)據(jù)的函數(shù)

只有當(dāng)用戶所在頁面的當(dāng)前地址包含以下關(guān)鍵字之一(圖4)時(shí)，才會(huì)收集和發(fā)送數(shù)據(jù)：

• onepage
• checkout
• store
• cart
• pay
• panier
• kasse
• order
• billing
• purchase
• basket

在發(fā)送被攔截的支付卡之前，其數(shù)據(jù)將從本地存儲(chǔ)的_google.verify.cache.001對(duì)象中提取，并通過發(fā)送HTTP GET請(qǐng)求傳輸給攻擊者。

JS嗅探器代碼片段，其功能是將收集到的數(shù)據(jù)發(fā)送到攻擊者的服務(wù)器

在UltraRank對(duì)感染病毒的進(jìn)一步分析過程中，Group-IB團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)沒有進(jìn)行模糊的JS嗅探器樣本，該樣本與之前在一個(gè)攻擊者的網(wǎng)站上發(fā)現(xiàn)的樣本相同，該網(wǎng)站將UltraRank與新攻擊相關(guān)聯(lián)。

基礎(chǔ)設(shè)施分析

在分析嗅探器基礎(chǔ)設(shè)施時(shí)，發(fā)現(xiàn)了一個(gè)標(biāo)準(zhǔn)的PHP腳本，這是UltraRank所有網(wǎng)站的典型特征。除了發(fā)送的請(qǐng)求和服務(wù)器的常見信息之外，該腳本還顯示了服務(wù)器的真實(shí)IP地址。在分析時(shí)，googletagsmanager[.]co域的IP地址為8.208.16[.]230 (AS45102, Alibaba (US) Technology Co., Ltd.)。同時(shí)，真實(shí)服務(wù)器地址是Media Land LLC(AS206728)擁有的45.141.84[.]239(圖5)。根據(jù)布萊恩·克雷布斯(Brian Krebs)發(fā)布的一篇文章，Media Land LLC與一家地下論壇用戶運(yùn)營的防彈托管公司聯(lián)系，該論壇用戶的昵稱為Yalishanda，它為攻擊者提供服務(wù)。據(jù)推測，Yalishanda的服務(wù)使用從包括阿里巴巴在內(nèi)的各種供應(yīng)商那里租來的云服務(wù)器來托管部分攻擊者的基礎(chǔ)設(shè)施。

除了服務(wù)器IP地址外，腳本輸出還指定網(wǎng)站文件在服務(wù)器hXXp://googletagsmanager[.]co/: worker.上的目錄。

腳本輸出，其中包含有關(guān)googletagsmanager.co域所在服務(wù)器的信息

IP地址 45.141.84[.]239也鏈接到網(wǎng)站hXXp://s-panel[.]su/。在分析過程中，再次在UltraRank基礎(chǔ)結(jié)構(gòu)的所有網(wǎng)站上找到了相同的腳本(圖6)。在這種情況下，所有網(wǎng)站文件所在的目錄稱為面板(panel)。

腳本輸出，其中包含有關(guān)域s-panel.su所在服務(wù)器的信息

除公用服務(wù)器外，Group-IB的Graph Network Analysis系統(tǒng)還檢測到SSL證書50e15969b10d40388bffbb87f56dd83df14576af。該證書位于googletagsmanager.co域和IP地址為45.141.84[.]239的服務(wù)器上，該服務(wù)器與s-panel[.]su 域相關(guān)聯(lián)(圖7)。

來自Group-IB威脅情報(bào)和分析系統(tǒng)的證書鏈接圖50e15969b10d40388bffbb87f56dd83df14576af

通過對(duì)網(wǎng)站hXXp://s-panel[.]su/的進(jìn)一步分析，發(fā)現(xiàn)了登錄表單。據(jù)推測，該網(wǎng)站被攻擊者用作嗅探器控制面板，所有被盜的支付卡數(shù)據(jù)都收集在面板中，以用于隨后的滲透和傳播。

在網(wǎng)站s-panel.su上找到的登錄表單

研究人員還發(fā)現(xiàn)了googletagsmanager[.]info域，2020年9月，此域的IP地址與googletagsmanager[.]co (8.208.96.88)相同。但是，在撰寫本文時(shí)，該網(wǎng)站處于非活動(dòng)狀態(tài)，未發(fā)現(xiàn)使用該網(wǎng)站的電子商務(wù)感染案例。

攻擊指標(biāo)

googletagsmanager[.]co  
 googletagsmanager[.]info  
 s-panel[.]su 

緩解建議

到目前為止，Group-IB的專家已經(jīng)研究了96種不同的JS嗅探器系列。使用惡意JavaScript對(duì)電子商務(wù)商店的攻擊正成為一種越來越流行的獲取大量用戶付款信息以進(jìn)行后續(xù)傳播的方式。由于UltraRank通過黑客入侵第三方提供商Inbenta在Ticketmaster網(wǎng)站上安裝了惡意代碼，導(dǎo)致用戶付款數(shù)據(jù)泄露。 Ticketmaster為此被罰款125萬英鎊。此外，英國航空公司因其網(wǎng)站和移動(dòng)應(yīng)用程序使用的一個(gè)JavaScript庫中注入的惡意代碼導(dǎo)致的數(shù)據(jù)泄漏而被罰款2000萬英鎊。因此，JS嗅探器的攻擊不僅與電子商務(wù)商店的所有者有關(guān)，而且與所有在線使用和處理銀行卡付款的服務(wù)有關(guān)。Group-IB的專家們匯編了一系列建議，這些建議將幫助各種電子商務(wù)參與者最大程度地減少潛在攻擊，防止感染或檢測現(xiàn)有的惡意活動(dòng)。

對(duì)于銀行來說

• 使用支付卡時(shí)，通知用戶在線支付過程中可能出現(xiàn)的風(fēng)險(xiǎn)。
• 如果與你的銀行有關(guān)的支付卡已被盜用，請(qǐng)阻止這些卡并通知用戶電子商務(wù)商店已感染了支付卡嗅探器。

對(duì)于電子商務(wù)網(wǎng)站管理員來說

• 使用復(fù)雜且唯一的密碼來訪問網(wǎng)站的管理面板和用于管理的任何服務(wù)，例如phpMyAdmin，Adminer。如果可能，請(qǐng)?jiān)O(shè)置雙因素身份驗(yàn)證。
• 安裝所用軟件的所有必要更新，包括網(wǎng)站的CMS。請(qǐng)勿使用過時(shí)或不受支持的CMS版本。這將有助于減少服務(wù)器受到威脅的風(fēng)險(xiǎn)，并使攻擊者更難以下載Web Shell和安裝惡意代碼。
• 定期檢查商店中是否存在惡意軟件，并定期對(duì)你的網(wǎng)站進(jìn)行安全審核。例如，對(duì)于基于CMS Magento的網(wǎng)站，你可以使用Magento安全掃描工具。
• 使用適當(dāng)?shù)南到y(tǒng)記錄網(wǎng)站上發(fā)生的所有更改，以及記錄對(duì)網(wǎng)站的控制面板和數(shù)據(jù)庫的訪問并跟蹤文件更改日期。這將幫助你檢測到感染了惡意代碼的網(wǎng)站文件，并跟蹤對(duì)網(wǎng)站或Web服務(wù)器的未經(jīng)授權(quán)的訪問。

對(duì)于支付系統(tǒng)/支付處理銀行來說

• 如果你為電子商務(wù)網(wǎng)站提供付款服務(wù)，請(qǐng)?jiān)诮邮芫W(wǎng)站上的在線付款時(shí)定期通知客戶有關(guān)基本安全技術(shù)的信息，以及JavaScript嗅探器的威脅;
• 確保你的服務(wù)使用正確配置的內(nèi)容安全策略;

本文翻譯自：https://www.group-ib.com/blog/ultrarank