Magecartグループ(Keeper)の動向がまた報じられていました。そのターゲットのほとんどはMagantoだった様です。
www.zdnet.com
元ソース
脅威インテリジェンス企業のGemini Advisoryが本日発表したレポートによると、同社は、Keeperが少なくとも2017年4月から運用されており、現在でも運用を続けていると述べています。
(中略)
Keeperは、Keeperギャングが2018年7月から2019年4月の間に収集した約184,000枚の支払いカードの詳細を含む漏洩バックエンドからログを取得できたと述べています。
(ZDNet記事より引用)※機械翻訳
キタきつねの所感
Magecartを長年追いかけている、Gemini Advisoryの調査レポートが記事の元ソースとなっている様です。Magecartは攻撃パターンの違いにより、複数のグループに分類されますが、今回レポートに出てきている「Keeper」グループは、JavaScriptコード(デジタルスキマー)を仕掛ける攻撃の癖からでは無く、バックエンドサーバのログイン画面が同じだった事から、Gemini Advisoryに追跡された様です。
Gemini Advisoryのブログ記事から以下の画面を引用しますが、こんな画面がDarkWebで「検索可能」であったと思われます。下記の画面は、「Keeper」側が収集されてきたカードデータを管理する為の(ハッカー側の)ログイン画面となります。
そうは書かれてはいませんが、URL部分にDuckDuckGoの文字が見えるので、(DarkWebの)検索エンジンで見えてしまった/見つかってしまったのもGemniniの追跡が成功した要因の1つかも知れません。
Gemini Advisoryは、このコントロール画面(に関連する)安全でないaccess.logを発見したとブログ記事で発表しており、このログを分析した所、2018年7月~2019年4月までのタイムスタンプを持つ18.4万件のカード情報が保存されていた事が発見されました。
※「access.log」はハッカー側にとっての意図しない公開になってしまったものと思われます。
尚、侵害を受けたECサイトは55か国、570サイトにも及びます。国別の侵害ドメインのリストには、日本の名前があり、気になったので調べてみました。
記事に付随してGemini Advisoryは付録を3つ(ABC)出しており、
・付録A Keeper攻撃者ドメインリスト
・付録B データ抽出の為にKeeperが使用した73の流出ドメインリスト
・付録C Keeperに侵害された570ECサイトのドメインリスト
付録Cに日本企業のドメインを探してみたのですが、(以下付録Cのサンプル)特に見つかりませんでした。
レポートで他に気になったのが、被害サイトの内訳です。570のECサイトのほとんどは中小のECサイトだった様ですが、下記の様な比較的規模の大きいECサイトも被害を受けて様です。
※Gemini Advisoryのブログ記事より引用 ※機械翻訳
このリストを見ていて少し気になったのが、感染が2018年のECサイトがありますが・・・恐らくMagecartに侵害を受けている事を、気づいてなかったのではないでしょうか。
また、日本だと別なECサイト構築パッケージ(CMS)がありますが、EC-CUBEへの攻撃手法は、Magecart程に洗練されているケースは稀な気がします。
国内の攻撃は、偽サイトに飛ばしてフィッシングページからカード情報を窃取、又は設定ミス等を突いて管理者権限を奪取して追加攻撃を行うパターンが多い気がしますが、海外の「スキマー」を挿入する手法(コードの難読化含む)、あるいは窃取したデータを別ドメインに(JavaScriptコード=スキマーを使って)転送する部分などは、今は日本市場であまり主流ではない攻撃と言えますが、国内CMCの癖を掴まれたら、被害が結構出てくる気もします。
※Gemini Advisoryブログ記事より引用(悪意あるペイロード例)
余談です。この調査で確認されたカード情報漏えい件数は18.4万件ですが、2017年4月頃から活動を開始している事を想像すると、(Gemini Advisoryの推定としては)トータル約70万枚のカード情報が漏えいした可能性があると分析しています。
DarkWebでの1件当たりのカード販売価格は、約10ドルなので700万ドル以上の推定価値があるという試算になります。
ある意味、1つの産業ですね。このレベルまで来ると。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
