Kendilerine ‘XE Group’ adını verdikten sonra nispeten bilinmeyen bir grup Vietnamlı bilgisayar korsanı, sekiz yıllık kâr amaçlı bilgisayar korsanlığı ve kredi kartı kaymağıyla bağlantılı.
Tehdit aktörlerinin, başta restoranlar, kar amacı gütmeyen sanat ve seyahat platformlarından olmak üzere günde binlerce kredi kartının çalınmasından sorumlu olduğu düşünülüyor.
Aktörler, kötü amaçlı yazılımları çalan kimlik bilgileri ve ödeme bilgilerini yüklemek için dış hizmetlere, belirgin telerik kullanıcı arabirimi kusurlarına karşı güvenlik açığından ödün vermek için herkese açık açıkları kullanır.
Bir 2020 Malwarebytes raporu ilk olarak grubun faaliyetlerini özetledi, ancak buna atfedilen son tavizlerin daha derinlemesine bir analizi dün Volexity tarafından yayınlandı.
Daha fazla ayrıntı ortaya çıkıyor
Volexity, XE Group tarafından son üç yılda kullanılan altyapıyı haritalandırabildi ve gitHub’daki tüm teknik detayları ve IOU’ları paylaştı.
Araştırmacılar, kötü amaçlı JavaScript parçacıklarının yüklenmesindeki yaygın bir teknik sayesinde aynı sıyırıcıyı taşıyan birçok virüslü site bulabilirler.
Volexity raporunda paylaşılan araştırmacılar, “Kötü amaçlı JavaScript’i bu sayfadan yüklemek için kullanılan kod, saldırganın ilginç bir teknik kullandığını ortaya koyuyor: JavaScript anahtar kelimesi “nesne” etki alanı değerini doldurmak için kullanılıyor.”
Bu tür ihlaller, bir tehdit aktörünün müşteri ve ödeme bilgilerini gönderilirken toplayan kötü amaçlı JavaScript eklemek için bir e-ticaret sitesini hacklediğinde “Magecart” saldırıları olarak kategorize edilir. Çalınan bu bilgiler daha sonra saldırganlar tarafından toplanmak üzere uzak bir sunucuya yüklenir.
Bu saldırıların uzun vadeli başarısı, güvenlik ürünleri tarafından tespit edilmeden bir web sitesinde ne kadar iyi gizlenebileceklerine bağlıdır.
Bu sıyırıcının örneğini VirusTotal’a yüklemek mükemmel bir 0/57 algılama puanı döndürür, yani bu grubun JavaScript’i AV algılamasına karşı çok gizlidir.
Tarafından analiz edilen 2020 sürümü ile karşılaştırıldığında Malwarebytes, yeni raporda aşağıdaki farklar bulundu:
- Karartılmış dizeleri yeniden oluşturmak için “.join()” ve .” replace()” ek kullanımı vardır.
- URI, sözcük dizileri ve rastgele tamsayılar kullanarak sahte rastgeleleştirilmiş verileri göndermek için kullanılır.
- Parola arama işlevi kaldırıldı.
- Anahtar işlevselliğini çalıştırmadan önce pencerenin yüklenmesini tamamladığından emin olmak için komut dosyası içinde ek denetimler yapılır.
- Exfiltration URL’si artık kodlanmıştır.
Sonuç olarak, en son sıyırıcı geçen yılki örneklere göre ince iyileştirmeler içeriyor ve kurbanların kötü amaçlı JavaScript’i yükleyen sayfalara girdiği her türlü veriyi etkili bir şekilde kapmaya devam ediyor.
Bu web sitelerinden bu kullanılarak çalınan verilere bir örnek:
{"rcgnAdultsCheckBoxon”:””,”firstNameTextBox”:”[name]”:,”lastNameTextBox”:”[surname]”:,”birthdateTextBox”:”[date]”,”genderCodeDropDown”:”[gender]”,”emailAddressTextBox”:”[email_address]”,”relationshipDropDown”:”[relation]”,”txtCardNumber”:”1111-2222-3333-4444:”,”ddlExpirationMonth”:”[month]”,”ddlExpirationYear:”[year],”txtSecurityCode”:”[code]"}
XE Grubuna Bakmak
Volexity, XE Group’un etkinliğini Vietnamlı tehdit aktörlerine bağlar, çünkü komuta ve kontrol sunucuları için kullanılan alan adlarının birkaçı Vietnam’daki bir kişiye kaydedilir.
Alan adı kayıt bilgileri sahte olsa da, araştırmacılar kayıt yaptıran Joe Nguyen’i aynı adlı biri tarafından oluşturulan XE avatarını kullanarak bir GitHub deposuna bağladılar.
Ayrıca, GitHub deposuyla ilişkili “xethanh” takma adının da crdclub’da bir hesabı vardı.[.]su forum nerede çalıntı kredi kartı bilgileri sundu.
Araştırmacılar, siber kartlar gibi diğer tarak forumlarında benzer hesaplar buldu[.]su ve cardingforum[.]Co, bu yüzden aktör kartı kullanmak yerine satmayı tercih ediyor.
“GitHub ve tarak hesabı için kullanılan kişi ve birkaç alan adının 2013’e kadar uzanan bir geçmişi var, bu da saldırganın sekiz yıla kadar benzer saldırılar girişiminde bulunmuş olabileceğini ve faaliyetlerinden sadece bir önemli şekilde bahsettiğini gösteriyor.” Volexity
Son olarak, VirusTotal’da keşfedilen kötü amaçlı yazılım dosyalarından bazıları Vietnamlı kullanıcılar tarafından yüklenmiş gibi görünüyor. Tehdit aktörleri, virüsten koruma yazılımının kötü amaçlı yazılımlarını ne kadar iyi algılayabileceğini test etmek için kampanyalar başlatmadan önce genellikle VirusTotal kullanır.
Savunucular, sağlanan ağ göstergeleri veya kullanarak tehdidi tespit edin bu imzalar.