UltraRank 黑客組織的新攻擊

譯者：知道創宇404實驗室翻譯組
原文鏈接：https://www.group-ib.com/blog/ultrarank

介紹

2020年8月，Group-IB發佈了報告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。這個報告描述了網絡犯罪組織UltraRank的活動，該組織在五年裏成功攻擊了691家電子商務商店和13家網站服務提供商。

2020年11月，我們發現了新一輪的UltraRank攻擊。攻擊者沒有使用現有的域進行新的攻擊，而是改用新的基礎架構來存儲惡意代碼並收集攔截的支付數據。

在UltraRank的新活動中，我們發現了12個被JavaScript-sniffer感染的電子商務網站。

這次，JS sniffer的代碼使用了Radix模糊處理。然後，攻擊者使用了SnifLite家族的sniffer。由於受感染網站的數量相對較少，攻擊者最有可能使用了CMS管理面板中的憑據，而這些憑據又可能被惡意軟件或暴力攻擊破壞。

在最近的一系列攻擊中，UltraRank模仿合法的Google Tag Manager域將惡意代碼存儲在網站上。研究發現，攻擊者的主服務器由Media Land LLC託管，該公司與一家防彈託管公司有聯繫。

圖1：混淆的sniffer代碼片段

JS Sniffer代碼分析

至少2019年1月開始，UltraRank就開始使用SnifLite JS Sniffer系列，當時它被用於攻擊Adverline廣告網絡。惡意代碼通過指向hXXp://googletagsmanager[.]co/網站上的JS文件的鏈接上載到受感染的網站。該域名僞裝爲Google跟蹤代碼管理器googletagmanager.com的合法域。攻擊者的網站hXXp://googletagsmanager[.]co/也可用於收集被攔截的支付卡數據（圖2）。

圖2:deobflusced JS Sniffer代碼片段，其中有一個到gate的鏈接，用於收集被截獲的卡信息

圖3顯示了負責攔截SnifLite Sniffer系列中付款信息的函數。數據收集算法基於函數querySelectorAll，就像該組織先前使用的FakeLogistics和WebRank sniffer一樣。

收集數據後，它將數據寫入名爲google.verify.cache.001的本地儲存中。

圖3：帶有用於收集支付卡數據功能的JS sniffer代碼片段

僅當用戶所在頁面的當前地址包含以下關鍵字之一（圖4）時，才收集和發送數據：

• onepage
• checkout
• store
• cart
• pay
• panier
• kasse
• order
• billing
• purchase
• basket

在發送被攔截的支付卡信息之前，其數據會從本地存儲的_google.verify.cache.001對象中提取，並通過HTTP GET請求傳輸給攻擊者。

圖4:JS sniffer代碼片段，該代碼具有將收集到的數據發送到攻擊者服務器的功能

基礎設施分析

在分析sniffer基礎設施時，我們發現了一個標準PHP腳本，這是UltraRank所有網站的典型腳本。除了關於發送的請求和服務器的公共信息外，腳本還顯示了服務器的真實IP地址。分析時，googletagsmanager[.]共域的IP地址爲8.208.16[.]230（ZoomEye搜索結果）（AS45102，阿里巴巴（美國）技術有限公司）。同時，真正的服務器地址是45.141.84[.]239（ZoomEye搜索結果）`（圖5），屬於Media Land LLC（AS206728）。Media Land LLC與一家名爲Yalishanda的防彈託管公司有關聯，該公司爲網絡犯罪分子提供服務。據推測，Yalishanda的服務使用從包括阿里巴巴在內的多家供應商租用的雲服務器來託管部分網絡犯罪分子的基礎設施。

除了服務器IP地址，腳本還指定了服務器上網站文件所在的目錄hXXp://googletagsmanager[.]co/:worker。

圖5：腳本輸出，其中包含有關googletagsmanager.co域所在服務器的信息

IP地址45.141.84[.]239（ZoomEye搜索結果）也鏈接到網站hXXp://s-panel[.]su/。在分析過程中，再次在UltraRank基礎結構的所有網站上找到了相同的腳本（圖6）。在這種情況下，所有網站文件所在的目錄稱爲panel。

圖6：腳本輸出，其中包含有關域s-panel.su所在服務器的信息

除公用服務器外，我們還檢測到一個SSL證書50e15969b10d40388bffbb87f56dd83df14576af。該證書位於googletagsmanager.co域和IP地址爲45.141.84[.]239的服務器上，該服務器與s-panel[.]su域相關聯（圖7）。

圖7：證書50e15969b10d40388bffbb87f56dd83df14576af

通過對網站hXXp://s-panel[.]su/的進一步分析，發現了登錄表單。據推測，該網站被攻擊者用作sniffer控制面板：所有被盜的支付卡數據都收集在面板中，用於之後的滲透和轉售。

圖8：在網站s-panel.su上找到的登錄表單

我們還發現了googletagsmanager[.]info域。2020年9月，此域的IP地址與googletagsmanager[.]co (8.208.96.88)（ZoomEye搜索結果）相同。但是，在撰寫本文時，該網站處於非活動狀態，尚未發現使用該網站的電子商務感染案例。

Ioc

• googletagsmanager[.]co
• googletagsmanager[.]info
• s-panel[.]su

建議

對於銀行

• 使用支付卡時，通知用戶在線支付過程中可能出現的風險。
• 如果與您所在銀行有關的支付卡已被盜用，請及時處理這些卡，並通知用戶。

對於電子商務網站的管理員

• 使用複雜且唯一的密碼來訪問網站的管理面板和用於管理的任何服務，例如phpMyAdmin、Adminer。如果可能，請設置兩因素身份驗證。
• 及時更新軟件，包括網站的CMS。請勿使用過時或不受支持的CMS版本。這將有助於減少服務器受到威脅的風險，並使攻擊者更難以下載Web Shell和安裝惡意代碼。
• 定期檢查商店中是否存在惡意軟件，並對網站進行安全審覈。例如，基於CMS Magento的網站，您可以使用Magento安全掃描工具。
• 使用適當的系統記錄網站上發生的所有更改，記錄對網站控制面板和數據庫的訪問並跟蹤文件更改日期。這有助於檢測感染了惡意代碼的網站文件，並跟蹤對網站或Web服務器的未經授權的訪問。

對於支付系統/支付銀行

• 如果您爲電子商務網站提供支付服務，請在接受網站上的在線支付時定期向客戶告知基本的安全技術，以及JavaScript sniffer的威脅。
• 確保您的服務使用正確配置的安全策略。

---

本文由 Seebug Paper 發佈，如需轉載請註明來源。本文地址：https://paper.seebug.org/1438/