【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料

隨著購物季節即將到來,也出現了多起關於信用卡資料外洩危及各行業及其客戶資料的消息。著名的像是希爾頓酒店和其他類似企業資料外洩事件是由端點銷售(PoS)惡意軟體所造成,讓許多人會擔心會有許多實體店面遭受數位威脅。研究人員還發現有大規模攻擊活動利用模組化ModPOS惡意軟體來竊取美國零售商的支付卡資料。

 

然而就趨勢科技所見,並不僅是美國零售業者面臨資料外洩風險。我們發現一個具備隱匿性,會搜尋網路中PoS系統的傀儡殭屍網路(請參考殭屍網路即時分布圖)。它擴大其攻擊面至全世界的中小型商業網路,包括一間美國的醫療機構。我們將它稱為Black Atlas行動,因為此攻擊行動所主要使用的惡意軟體是BlackPOS。

自2015年九月就可以看到Black Atlas行動出現,正好在購物季節前播下種子。其目標包括醫療保健、零售業及許多依賴卡片交易系統的產業。

這起攻擊行動是由技術相當先進的網路犯罪分子所進行,其非常了解各種滲透測試工具,並且對地下市場內的端點銷售(PoS)惡意軟體有相當廣的關聯。行動操盤手製作了一套就像瑞士刀一樣的工具集,每個工具都提供不同的功能。Black Atlas所用的惡意軟體包括(但不限於)AlinaNewPOSThings,一個Kronos後門程式和BlackPOS等變種。BlackPOS也被稱為Kaptoxa,是2013年Target資料外洩和2014年攻擊多個零售商帳戶所用的惡意軟體。

GamaPoS類似,Black Atlas行動採用散彈槍模式來滲透網路,而非尋求特定目標。基本上會檢查網路上可用的端口,看看是否能夠進入,結果就在世界各地找到多個目標。下圖顯示這些目標的所在地,台灣也列入其中:

【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料

圖一、Black Atlas行動中Gorynych目標分布

到目前為止,Black Atlas 行動操盤手已經有能力竊取多個網站的使用者憑證,其包含敏感資料、電子郵件帳戶和Facebook。趨勢科技所發現最有意思的資料是一家加油站閉路電視(CCTV)的即時影像。這可能另一種即時等級的探勘方式,或是網路犯罪份子只是在擷取任何可取得的資訊。

Black Atlas行動如何運作

對這些攻擊目標的分析讓我們可以更進一步地深入了解Black Atlas如何搜尋網路中的PoS系統。在一個美國醫療機構的案例中,我們發現Black Atlas行動如何運作。

跟針對性攻擊/鎖定目標攻擊(Targeted attack)類似,Black Atlas會進行情報收集或稱探勘階段,此時網路犯罪分子使用像瑞士刀的工具集來確認滲透系統的最佳方式。它也會使用如暴力/字典攻擊工具、SMTP掃描程式及遠端桌面等各種工具。使用弱密碼的網路很可能在這初始滲透測試階段就淪陷。許多這類工具都可以輕易地從網路上的各種網站下載。

【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料

圖2、Black Atlas行動感染鏈

 

網路犯罪分子接著會根據初始探測結果來建立測試計劃,然後使用第二組工具來執行該計劃。在醫療機構案例中,Black Atlas操盤手用遠端存取工具來竊取詳細資料,並在網路內進行橫向移動。此階段所用的遠端存取工具取決於目標環境設定,取得遠端存取的方式也基於目標而有所不同。

 

一旦進入,網路犯罪分子會接著去熟悉環境。隨後帶入端點銷售(PoS)惡意軟體威脅,這是放在網路犯罪分子的瑞士刀工具箱中。最常被用來帶入其他工具及威脅的途徑是透過系統內建的FTP指令,因為反惡意軟體解決方案已經封鎖了我們在九月報導過代管Katrina和CenterPoS的初始網站。

 

部分Black Atlas行動採用模組化的「Botnet傀儡殭屍網路」Gorynych或Diamond Fox。 Gorynich被用來下載被改造過的BlackPOS惡意軟體,加上了記憶體擷取功能並且能上傳從記憶體轉儲的所有信用卡號碼。原本版本的BlackPOS使用文字檔來儲存竊取的信用卡資料,Gorynych現在會將這文字檔透過HTTP POST來進行資料竊出:

【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料

圖3、Gorynych的資料竊出階段

 

在接下來的部落格文章裡,我們將會討論我們的調查步驟,網路犯罪分子如何將新Gorynych後門程式改造來使用BlackPOS,以及網路犯罪份子如何在整個行動中利用各種新舊PoS惡意軟體來輕易收集金融資訊。我們也將提供技術細節、最佳實作和建議好幫助IT管理者和企業經營者來躲過或解決此PoS威脅。

 

 

@原文出處:Operation Black Atlas Endangers In-Store Card Payments and SMBs Worldwide; Switches between BlackPOS and Other Tools 作者:Jay Yaneza(威脅分析師)

 

 

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。


▼ 歡迎加入趨勢科技社群網站▼

好友人數 【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料 【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料 【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料 【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載