关于网络安全:UltraRank黑客组织的新攻击

译者：晓得创宇404实验室翻译组
原文链接：https://www.group-ib.com/blog...

介绍
2020年8月，Group-IB公布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告形容了网络立功组织UltraRank的流动，该组织在五年里胜利攻打了691家电子商务商店和13家网站服务提供商。

2020年11月，咱们发现了新一轮的UltraRank攻打。攻击者没有应用现有的域进行新的攻打，而是改用新的基础架构来存储恶意代码并收集拦挡的领取数据。

在UltraRank的新流动中，咱们发现了12个被JavaScript-sniffer感化的电子商务网站。

这次，JS sniffer的代码应用了Radix含糊解决。而后，攻击者应用了SnifLite家族的sniffer。因为受感化网站的数量绝对较少，攻击者最有可能应用了CMS治理面板中的凭据，而这些凭据又可能被恶意软件或暴力攻打毁坏。

在最近的一系列攻打中，UltraRank模拟非法的Google Tag Manager域将恶意代码存储在网站上。钻研发现，攻击者的主服务器由Media Land LLC托管，该公司与一家防弹托管公司有分割。

图1：混同的sniffer代码片段

JS Sniffer代码剖析
至多2019年1月开始，UltraRank就开始应用SnifLite JS Sniffer系列，过后它被用于攻打Adverline广告网络。恶意代码通过指向hXXp://googletagsmanager[.]co/网站上的JS文件的链接上载到受感化的网站。该域名假装为Google跟踪代码管理器googletagmanager.com的非法域。攻击者的网站hXXp://googletagsmanager[.]co/也可用于收集被拦挡的支付卡数据（图2）。

图2:deobflusced JS Sniffer代码片段，其中有一个到gate的链接，用于收集被截获的卡信息

图3显示了负责拦挡SnifLite Sniffer系列中付款信息的函数。数据收集算法基于函数querySelectorAll，就像该组织先前应用的FakeLogistics和WebRank sniffer一样。

收集数据后，它将数据写入名为google.verify.cache.001的本地贮存中。

图3：带有用于收集支付卡数据性能的JS sniffer代码片段

仅当用户所在页面的以后地址蕴含以下关键字之一（图4）时，才收集和发送数据：
onepage
checkout
store
cart
pay
panier
kasse
order
billing
purchase
basket

在发送被拦挡的支付卡信息之前，其数据会从本地存储的_google.verify.cache.001对象中提取，并通过HTTP GET申请传输给攻击者。

图4:JS sniffer代码片段，该代码具备将收集到的数据发送到攻击者服务器的性能

基础设施剖析
在剖析sniffer基础设施时，咱们发现了一个规范PHP脚本，这是UltraRank所有网站的典型脚本。除了对于发送的申请和服务器的公共信息外，脚本还显示了服务器的实在IP地址。剖析时，googletagsmanager[.]共域的IP地址为8.208.16[.]230（ZoomEye搜寻后果）（AS45102，阿里巴巴（美国）技术有限公司）。同时，真正的服务器地址是45.141.84[.]239（ZoomEye搜寻后果）`（图5），属于Media Land LLC（AS206728）。Media Land LLC与一家名为Yalishanda的防弹托管公司有关联，该公司为网络犯罪分子提供服务。据揣测，Yalishanda的服务应用从包含阿里巴巴在内的多家供应商租用的云服务器来托管局部网络犯罪分子的基础设施。

除了服务器IP地址，脚本还指定了服务器上网站文件所在的目录hXXp://googletagsmanager[.]co/:worker。

图5：脚本输入，其中蕴含无关googletagsmanager.co域所在服务器的信息

IP地址45.141.84[.]239（ZoomEye搜寻后果）也链接到网站hXXp://s-panel[.]su/。在剖析过程中，再次在UltraRank根底构造的所有网站上找到了雷同的脚本（图6）。在这种状况下，所有网站文件所在的目录称为panel。

图6：脚本输入，其中蕴含无关域s-panel.su所在服务器的信息

除专用服务器外，咱们还检测到一个SSL证书50e15969b10d40388bffbb87f56dd83df14576af。该证书位于googletagsmanager.co域和IP地址为45.141.84[.]239的服务器上，该服务器与s-panel[.]su域相关联（图7）。

图7：证书50e15969b10d40388bffbb87f56dd83df14576af

通过对网站hXXp://s-panel[.]su/的进一步剖析，发现了登录表单。据揣测，该网站被攻击者用作sniffer控制面板：所有被盗的支付卡数据都收集在面板中，用于之后的浸透和转售。

图8：在网站s-panel.su上找到的登录表单

咱们还发现了googletagsmanager[.]info域。2020年9月，此域的IP地址与googletagsmanager[.]co (8.208.96.88)（ZoomEye搜寻后果）雷同。然而，在撰写本文时，该网站处于非活动状态，尚未发现应用该网站的电子商务感化案例。

Ioc

· googletagsmanager[.]co

· googletagsmanager[.]info

· s-panel[.]su

倡议：

1、对于银行

· 应用支付卡时，告诉用户在线领取过程中可能呈现的危险。

· 如果与您所在银行无关的支付卡已被盗用，请及时处理这些卡，并告诉用户。

2、对于电子商务网站的管理员

· 应用简单且惟一的明码来拜访网站的治理面板和用于治理的任何服务，例如phpMyAdmin、Adminer。如果可能，请设置两因素身份验证。

· 及时更新软件，包含网站的CMS。请勿应用过期或不受反对的CMS版本。这将有助于缩小服务器受到威逼的危险，并使攻击者更难以下载Web Shell和装置恶意代码。

· 定期检查商店中是否存在恶意软件，并对网站进行平安审核。例如，基于CMS Magento的网站，您能够应用Magento平安扫描工具。

· 应用适当的零碎记录网站上产生的所有更改，记录对网站控制面板和数据库的拜访并跟踪文件更改日期。这有助于检测感化了恶意代码的网站文件，并跟踪对网站或Web服务器的未经受权的拜访。

3、对于领取零碎/领取银行
· 如果您为电子商务网站提供领取服务，请在承受网站上的在线领取时定期向客户告知根本的平安技术，以及JavaScript sniffer的威逼。

· 确保您的服务应用正确配置的安全策略。