請注意你的隱私！朝鮮 Lazarus APT 竊取美國和歐盟商店的信用卡數據

與朝鮮有聯系的Lazarus APT至少已經從美國和歐洲的大型零售商的客戶那里竊取了付款卡數據。

Sansec研究人員報告說，與朝鮮有聯系的Lazarus APT小組至少已經從美國和歐洲的大型零售商的客戶那里竊取了付款卡信息。

威脅者破壞了合法網站，利用電子分離器竊取了被盜的信用卡數據。

過去，APT的目標銀行和加密貨幣交易所，據專家稱，整體運營使該集團賺了20億美元。

Lazarus Group的活動在2014年和2015年激增，其成員在攻擊中主要使用了定制的惡意軟件，對機組人員進行調查的專家認為，該惡意軟件非常復雜。

自從至少2009年（可能最早于2007年）以來，這個威脅行動者就一直活躍，并且參與了旨在破壞數據和破壞系統的網絡間諜活動和破壞活動。

當研究人員發現惡意代碼是從涉及Lazarus APT魚叉式網絡釣魚活動的域中加載的時，研究人員正在調查電子掠奪攻擊。

攻擊中使用的電子分離器代碼共享相同的代碼庫，受害者名單包括數十家商店，例如配飾巨頭Claire，Focus Camera，CBD Armour，Microbattery和Realchems。

為了躲在雷達下，攻擊者破壞了合法企業的網站，以開展掠奪活動。攻擊者入侵了屬于意大利模特經紀公司（Lux Model Agency），來自Tehran的老式音樂商店以及位于New Jersey的一家書店的網站，

“為了使撇油業務獲利，HIDDEN COBRA開發了一個全球滲漏網絡。該網絡利用合法的站點，這些站點被劫持并重新用于偽裝成犯罪活動。” 研究人員發表的報告中寫道。“該網絡還可以用來對被盜資產進行歸類，以便可以在暗網市場上出售它們。Sansec已經確定了許多這樣的滲透節點，包括米蘭的模特經紀公司，Tehran的古董音樂商店和New Jersey的家庭書店。”

朝鮮黑客還使用類似于受害者商店的域名進行注冊，以避免在泄露支付卡數據時被發現。這種策略在c中非常普遍。

Sansec研究人員將多次襲擊中使用的滲透域與平壤聯系起來。威脅參與者使用以下被劫持站點之一作為加載程序和卡片收集器：

• stefanoturco.com（在2019-07-19和2019-08-10之間）
• technokain.com（在2019-07-06和2019-07-09之間）
• darvishkhan.net（在2019-05-30和2019-11-26之間）
• areac-agr.com（在2019-05-30和2020-05-01之間）
• luxmodelagency.com（介于2019-06-23和2020-04-07之間）
• Signedbooksandcollectibles.com（在2019-07-01和2020-05-24之間）

研究人員提供了他們分析過的每個活動的詳細信息。

在某些攻擊中，該惡意軟件在24小時內從受感染的站點中消失，并在幾天后重新出現在同一家商店中，與此同時，被盜的數據被重定向到另一個域。

研究人員指出，他們不能排除這些攻擊可能由其他威脅行為者發動，但是可能性很小。

“ Sansec找到了全球掠奪活動的證據，這些活動與此前記錄的朝鮮黑客活動有多個獨立的聯系。Sansec認為，至少從2019年5月起，朝鮮政府贊助的演員就開始進行大規模的數字掠影活動。” 研究人員總結道。