朝鲜背后的Magecart攻击袭击

据SANSEC称，朝鲜国家赞助的拉撒路或隐藏的COBRA先进的持续威胁（APT）集团几乎肯定地落后于近期网络攻击的速度，这些攻击多次零售商的网站，包括克莱尔的配件，包括Magecart信用卡Skimmer，包括Magecart信用卡撇渣器。研究员Willem de Groot，谁一直在跟踪该集团。

朝鲜APTS先前曾倾向于将其活动限制在金融服务公司和韩国加密货币市场上，但SANSEC发现他们已经在超过12个月内运行的竞选活动中掀起了美国和欧洲的零售消费者。

De Groot每周告诉计算机，活动很大程度上是经济上有动力 - 获得硬币被认为是源自孤立，秘密和贫困国家范围内的大部分威胁活动背后的主要动力。

De Groot表示，在暗网络论坛上使用卡片和CVV代码在5美元到30美元之间，使用Magecart可能是该集团的金矿。

这个新发现还标志着Magecart的海洋变化，传统上是由俄罗斯和印度尼西亚黑客群体主导的。

Sansec表示，隐藏的Cobra可能会通过窥探攻击来获取员工密码来获得零售商的商店代码。在内部，它们将恶意Magecart脚本注入商店结账页面，从略微收集数据输入我的客户，如信用卡号，并将其删除到他们的服务器。

De Groot表示，他的团队能够将活动归因于隐藏的COBRA，因为攻击是使用以前的操作中的基础架构来抵消数据。

隐藏眼镜蛇使用的全球exfiltration网络正在利用被劫持和重新扣除的合法网站，其中包括米兰的建模机构，德黑兰的葡萄酒音乐商店，以及新泽西州的独立书店。

在2019年6月首次发现这些网站的使用，并且由于Skimmer代码中的一些独特的识别特征和独特的模式，因此，Sansec一直在跟踪竞选活动，其中可以在De Groot的披露博客中阅读更多技术细节。

在代码中使用共享基础设施或值得注意的怪癖在Magecart攻击中非常常见 - Sansec通常在每天30到100个受感染的在线商店中所以这方面的专业知识是公平的。通常，这些指标非常明显，例如最近的印度尼西亚运行的活动使用了一个独特的调试消息“成功兄弟”。在这种情况下，指标是更加微妙的。

虽然de groot说，不同的演员可能会同时控制劫持网站的网络，但在实践中，这是不太可能的，尤其是因为一旦网站被黑了攻击，常常习惯关闭被剥削的脆弱性来停止竞争对手获得新资产。

这是允许梵率将这种攻击袭击与隐藏的眼镜蛇相结合，具有相当的信心。