最新研究显示,今年9月初,针对运行Magento 1.x电子商务平台零售商的网络攻击是由一个攻击组织发起的。
RiskIQ在发表的一份报告11月11日中说:“这个组织实施了大量不同种类的Magecart攻击,这些攻击通常通过供应链攻击(如Adverline事件)或利用漏洞(如9月Magento 1事件)危害大量网站。”
这些攻击被统称为CardBleude,针对至少2806多家Magento 1.x的在线商店,这些商店在2020年6月30日已经停止使用。
Magecart是针对在线购物系统的不同黑客团体的联合体,在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart已实践过的作案手法。
其攻击被称为formjacking攻击,攻击者通常会在支付页面上偷偷将JavaScript代码插入到电子商务网站中,以实时捕获客户卡的详细信息并将其传输到远程攻击者控制的服务器。
但在最近几个月中,Magecart组织加大了攻击,他们将代码隐藏在图像元数据中,甚至进行了IDN同形攻击,以隐藏在网站的favicon文件中的网络浏览器。
Cardbleed(最初由Sansec记录)通过使用特定域与Magento管理面板进行交互,然后利用“Magento Connect”功能下载并安装一个名为“mysql.php”的恶意软件。在skimmer代码被添加到“prototype.js”后,它会自动删除。
现在,根据RiskIQ的说法,这些攻击具有Magecart group 12组织的所有特征。
此外,刚刚提到的skimmer是Ant和Cockroach在2019年8月首次观测到的skimmer的变体。
有趣的是,研究人员观察到的其中一个域名(myicons[.]net)也与5月份的另一个活动有关,在那个活动中,一个Magento favicon文件被用来把skimmer隐藏在支付页面上,并加载一个假的支付表单来窃取捕获的信息。
但就在恶意域名被识别时,Magecart group 12已经熟练地换入了新的域名,以继续进行攻击。
RiskIQ的研究人员表示:“自从Cardbleed行动被公开以来,攻击者已经重组了他们的基础设施。”“他们开始从ajaxcloudflare[.]com装载skimmer,并将渗透转移到最近注册的域console..in中。”
RiskIQ威胁研究人员Jordan Herman表示,“升级到Magento 2是一种特别的缓解措施,尽管升级的成本可能会让较小的供应商望而却步。”
他补充说,“还有一家名为Mage One的公司也在继续支持和修补Magento 1。他们发布了一个补丁来缓解攻击者在10月底利用的特殊漏洞。所以,防止这类攻击的最好方法是让电子商店在其网站上运行完整的代码清单,这样他们就可以识别出软件的弃用版本,以及任何其他可能引发Magecart攻击的漏洞”。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态