朝鮮黑客目光投向網上商店,插入惡意代碼竊取用戶信息
在入侵了銀行和加密貨幣交易所、精心安排ATM提現以及部署勒索軟件之后,朝鮮黑客現在把目光投向了網上商店。
朝鮮政府贊助的黑客團隊正在闖入在線商店,以插入惡意代碼,買家訪問付款頁面和填寫付款表格時竊取他們的支付卡信息。
荷蘭網絡安全公司SanSec在今天發布的一份報告中表示,自2019年5月以來,對網上商店的攻擊一直在繼續。
在這一系列黑客事件中,最引人注目的受害者是配件商店連鎖店克萊爾(Claire’s),該商店在今年4月和6月遭到破壞。
這些類型的攻擊稱為“網絡掠奪”,“電子掠奪”或“ Magecart攻擊”,其姓氏來自第一個使用這種策略的組織。
Web抓取攻擊本質上很簡單,盡管它們需要黑客的高級技術才能執行。這樣做的目的是讓黑客能夠訪問網絡商店的后端服務器、相關資源或第三方小部件,從而在商店的前端安裝和運行惡意代碼。
該代碼僅加載在結帳頁面上,并在將付款卡詳細信息輸入到結帳表格時以靜默方式記錄下來。然后,這些數據被泄漏到遠程服務器,黑客從那里收集數據并在地下網絡犯罪市場上出售。
Web瀏覽掠奪攻擊通常要求黑客操作大型基礎架構來托管惡意代碼或運行收集點。
SanSec報告將在最近的網絡瀏覽攻擊中使用的域和服務器IP地址鏈接到先前已知的北朝鮮政府資助的黑客基礎設施。
SanSec的創始人Willem de Groot表示,證據可以追溯到美國國土安全部對平壤精英國家操作的黑客團隊的代號“ Hindden Cobra”(或Lazarus Group)。
圖片:SanSec
*綠色 =被黑的商店*
*紅色 =HIDDEN COBRA控制的滲透節點*
*黃色 =鏈接攻擊和惡意代碼的獨特技術*
Groot說:“目前還不知道HIDDEN COBRA是如何進入的,但攻擊者經常使用魚叉式釣魚攻擊(電子郵件陷阱)來獲取零售員工的密碼。”
朝鮮黑客涉嫌網絡犯罪
SanSec的發現是朝鮮政府資助的黑客行動的更廣闊前景的一部分。盡管許多政府支持的團體僅從事網絡間諜活動,但由于制裁削弱了朝鮮的經濟,朝鮮也利用國家黑客為其政府籌集資金。
平壤的黑客與全球各地的銀行的網絡搶劫者有聯系,參與了ATM搶劫和ATM提款,策劃了加密貨幣騙局,并破壞了加密貨幣交易所。
他們還經常從地下網絡犯罪市場購買商品惡意軟件,最近還被發現策劃COVID-19網絡釣魚活動。
朝鮮黑客還被指責制造了臭名昭著的“ WannaCry”勒索軟件,該軟件在2017年5月讓IT界的一大部分陷入癱瘓。當局和專家表示,“ WannaCry”是一種拙劣的嘗試,目的是制造勒索軟件,向受害者勒索錢財,為平壤政權籌集資金。
由于朝鮮的野蠻黑客運動,2019年9月,美國財政部對其認為與三個黑客組織有關的商業實體實施了制裁,美國官員稱這是用于籌集朝鮮武器和導彈資金的前沿公司程式。
對行業專家來說,朝鮮黑客參與網絡抓取事件并不奇怪,因為他們歷來都被任何類型的網絡犯罪所吸引,只要能產生利潤。
