UltraRank 黑客组织的新攻击

译者：知道创宇404实验室翻译组
原文链接：https://www.group-ib.com/blog/ultrarank

介绍

2020年8月，Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动，该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。

2020年11月，我们发现了新一轮的UltraRank攻击。攻击者没有使用现有的域进行新的攻击，而是改用新的基础架构来存储恶意代码并收集拦截的支付数据。

在UltraRank的新活动中，我们发现了12个被JavaScript-sniffer感染的电子商务网站。

这次，JS sniffer的代码使用了Radix模糊处理。然后，攻击者使用了SnifLite家族的sniffer。由于受感染网站的数量相对较少，攻击者最有可能使用了CMS管理面板中的凭据，而这些凭据又可能被恶意软件或暴力攻击破坏。

在最近的一系列攻击中，UltraRank模仿合法的Google Tag Manager域将恶意代码存储在网站上。研究发现，攻击者的主服务器由Media Land LLC托管，该公司与一家防弹托管公司有联系。

图1：混淆的sniffer代码片段

JS Sniffer代码分析

至少2019年1月开始，UltraRank就开始使用SnifLite JS Sniffer系列，当时它被用于攻击Adverline广告网络。恶意代码通过指向hXXp://googletagsmanager[.]co/网站上的JS文件的链接上载到受感染的网站。该域名伪装为Google跟踪代码管理器googletagmanager.com的合法域。攻击者的网站hXXp://googletagsmanager[.]co/也可用于收集被拦截的支付卡数据（图2）。

图2:deobflusced JS Sniffer代码片段，其中有一个到gate的链接，用于收集被截获的卡信息

图3显示了负责拦截SnifLite Sniffer系列中付款信息的函数。数据收集算法基于函数querySelectorAll，就像该组织先前使用的FakeLogistics和WebRank sniffer一样。

收集数据后，它将数据写入名为google.verify.cache.001的本地储存中。

图3：带有用于收集支付卡数据功能的JS sniffer代码片段

仅当用户所在页面的当前地址包含以下关键字之一（图4）时，才收集和发送数据：

• onepage
• checkout
• store
• cart
• pay
• panier
• kasse
• order
• billing
• purchase
• basket

在发送被拦截的支付卡信息之前，其数据会从本地存储的_google.verify.cache.001对象中提取，并通过HTTP GET请求传输给攻击者。

图4:JS sniffer代码片段，该代码具有将收集到的数据发送到攻击者服务器的功能

基础设施分析

在分析sniffer基础设施时，我们发现了一个标准PHP脚本，这是UltraRank所有网站的典型脚本。除了关于发送的请求和服务器的公共信息外，脚本还显示了服务器的真实IP地址。分析时，googletagsmanager[.]共域的IP地址为8.208.16[.]230（ZoomEye搜索结果）（AS45102，阿里巴巴（美国）技术有限公司）。同时，真正的服务器地址是45.141.84[.]239（ZoomEye搜索结果）`（图5），属于Media Land LLC（AS206728）。Media Land LLC与一家名为Yalishanda的防弹托管公司有关联，该公司为网络犯罪分子提供服务。据推测，Yalishanda的服务使用从包括阿里巴巴在内的多家供应商租用的云服务器来托管部分网络犯罪分子的基础设施。

除了服务器IP地址，脚本还指定了服务器上网站文件所在的目录hXXp://googletagsmanager[.]co/:worker。

图5：脚本输出，其中包含有关googletagsmanager.co域所在服务器的信息

IP地址45.141.84[.]239（ZoomEye搜索结果）也链接到网站hXXp://s-panel[.]su/。在分析过程中，再次在UltraRank基础结构的所有网站上找到了相同的脚本（图6）。在这种情况下，所有网站文件所在的目录称为panel。

图6：脚本输出，其中包含有关域s-panel.su所在服务器的信息

除公用服务器外，我们还检测到一个SSL证书50e15969b10d40388bffbb87f56dd83df14576af。该证书位于googletagsmanager.co域和IP地址为45.141.84[.]239的服务器上，该服务器与s-panel[.]su域相关联（图7）。

图7：证书50e15969b10d40388bffbb87f56dd83df14576af

通过对网站hXXp://s-panel[.]su/的进一步分析，发现了登录表单。据推测，该网站被攻击者用作sniffer控制面板：所有被盗的支付卡数据都收集在面板中，用于之后的渗透和转售。

图8：在网站s-panel.su上找到的登录表单

我们还发现了googletagsmanager[.]info域。2020年9月，此域的IP地址与googletagsmanager[.]co (8.208.96.88)（ZoomEye搜索结果）相同。但是，在撰写本文时，该网站处于非活动状态，尚未发现使用该网站的电子商务感染案例。

Ioc

• googletagsmanager[.]co
• googletagsmanager[.]info
• s-panel[.]su

建议

对于银行

• 使用支付卡时，通知用户在线支付过程中可能出现的风险。
• 如果与您所在银行有关的支付卡已被盗用，请及时处理这些卡，并通知用户。

对于电子商务网站的管理员

• 使用复杂且唯一的密码来访问网站的管理面板和用于管理的任何服务，例如phpMyAdmin、Adminer。如果可能，请设置两因素身份验证。
• 及时更新软件，包括网站的CMS。请勿使用过时或不受支持的CMS版本。这将有助于减少服务器受到威胁的风险，并使攻击者更难以下载Web Shell和安装恶意代码。
• 定期检查商店中是否存在恶意软件，并对网站进行安全审核。例如，基于CMS Magento的网站，您可以使用Magento安全扫描工具。
• 使用适当的系统记录网站上发生的所有更改，记录对网站控制面板和数据库的访问并跟踪文件更改日期。这有助于检测感染了恶意代码的网站文件，并跟踪对网站或Web服务器的未经授权的访问。

对于支付系统/支付银行

• 如果您为电子商务网站提供支付服务，请在接受网站上的在线支付时定期向客户告知基本的安全技术，以及JavaScript sniffer的威胁。
• 确保您的服务使用正确配置的安全策略。

---

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/1438/