신용카드 '스니퍼'가 성장하는 이커머스 산업에 지속적인 위협이 되고 있습니다.

신용카드 '스니퍼'가 성장하는 이커머스 산업에 지속적인 위협이 되고 있습니다.

insikt-group-logo-updated-3-300x48.png
Click Here 를 클릭하여 전체 분석 내용을 PDF로 다운로드하세요.

Recorded Future는 Recorded Future 위협 관찰(® ) 플랫폼의 최신 데이터, 정보 보안 보고서 및 기타 오픈 소스 정보(OSINT) 소스를 분석하여 위협 행위자의 캠페인을 지원하는 스니퍼를 식별했습니다. 이 보고서는 "지하 경제에서의 자동화 및 상품화" 보고서에 언급된 내용을 바탕으로 한 후속 보고서입니다. 데이터베이스 침해, 체커와 브루트 포서, 로더와 크립터. 이 보고서는 네트워크 보안 담당자, 보안 연구원, 그리고 보안 위험 관리 및 완화 책임을 맡은 경영진에게 가장 유용할 것입니다.

Executive Summary

글로벌 비즈니스가 온라인에서 더 많은 거래를 수행하는 방향으로 전환함에 따라 위협 공격자들은 웹사이트 결제 처리 시스템 및 인터페이스의 취약점, 특히 악성 자바스크립트(JS)를 삽입하여 고객 데이터와 결제 카드 정보를 유출할 수 있는 취약점을 식별하고 악용하는 데 더 많은 투자를 하고 있습니다.

이번 보고서와 이전 레코디드 퓨처 보고서에서 강조했듯이, 웹사이트에 악성 JS 코드를 삽입하는 것은 이 기술을 사용하는 위협 행위자 그룹을 포괄적으로 지칭하는 Magecart만의 문제가 아니라 정기적으로 업데이트되고 다양한 기능을 포함하며 구매 또는 대여가 가능한 맞춤형 결제 스니퍼를 개발하는 다크웹의 여러 위협 행위자들도 판매하고 있는 것으로 나타났습니다. 이러한 스니퍼 변종은 사이버 범죄자가 손상된 결제 처리 웹사이트에서 민감한 정보를 훔치고 수집할 수 있게 해줍니다. 이러한 공격이 계속해서 수익을 창출하는 한, 이 보고서에 프로파일링된 세 가지 공격자와 같은 위협 행위자들은 업데이트된 보안 조치와 경고를 무력화할 수 있는 맞춤형 스니퍼를 계속 개발 및 판매할 가능성이 높습니다.

주요 판단

배경

오늘날의 사이버 위협 환경에서 위협 행위자는 결제 카드 번호 및 기타 개인 식별 정보(PII)를 훔칠 때 스키머와 쉬머, 판매 시점(PoS) 멀웨어, 스니퍼 등 세 가지 일반적인 전술, 기술 및 절차(TTP)를 사용합니다. 상호 교환할 수 없는 이러한 기술을 다음과 같이 정의합니다:

온라인 및 모바일 거래를 통해 판매가 증가함에 따라, 악의적인 공격자들은 전자상거래 플랫폼과 웹사이트의 결제 페이지 내 취약점을 식별하는 데 집중하고 있습니다. 특히 현재 코로나19 팬데믹 기간 동안 — 2020년 4월 전자상거래 매출이 49% 증가했다는 보고가 있습니다 — 위협 행위자들은 이러한 변화에서 이익을 얻기 위해 재정적 동기를 가지고 있습니다. 이러한 취약점과 트렌드는 개별 위협 행위자뿐만 아니라 2020년 7월에 미국과 유럽의 주요 온라인 소매업체 웹사이트를 표적으로 삼은 것으로 확인된 북한 APT 그룹인 라자루스 그룹과 같은 고급 지속적 위협(APT)에 의해 악용되고 있습니다.

위협 행위자가 스니퍼를 사용하면 감염된 웹사이트를 방문한 고객의 데이터를 자동으로 캡처하는 악성 JS를 삽입하여 수많은 고객의 결제 카드와 PII를 자동으로 수집할 수 있습니다. 스니퍼는 추가 처리 및 악용을 위해 손상된 데이터를 위협 행위자의 C2로 전달합니다. 위협 행위자가 전자상거래 웹사이트의 결제 페이지에서 CNP 데이터를 탈취하는 데 성공하면 이 CNP 데이터는 상품 및 서비스 구매에 사용되거나 신용카드 상점에서 판매될 수 있습니다. 위협 행위자는 유출된 CNP 데이터를 사용하여 유동성이 높은 상품이나 서비스를 구매하고, 카드 미사용 거래를 통해 직접 구매하기도 합니다.

이 보고서에서 언급했듯이, 악성 JS 인젝션을 통해 웹사이트에서 유출된 결제 인증정보를 수집하는 위협 행위자 그룹을 설명하는 포괄적인 용어인 'Magecart'는 악성 JS를 사용하는 위협 행위자 그룹 중 유일한 그룹이 아닙니다. 레코디드 퓨처는 다크 웹 소스에서 고유한 속성을 포함하고 운영자가 새로 구현한 보안 조치를 우회하기 위해 정기적으로 업데이트하는 맞춤형 스니퍼 변종을 광고하는 다크 웹 위협 행위자를 식별하고 조사했습니다.

맞춤형 스니퍼 변종과 그 배후에 있는 위협 행위자

소치

"소치"는 최소 3개의 포럼에서 활동하는 최소 두 명의 서로 다른 러시아어 사용자가 사용하는 기본 닉네임입니다: Exploit, Verified, Club2CRD. 소치는 JS 스니퍼 "Inter"와 트로이 목마 Android Red의 제작자입니다. 2019년 3월, 레코디드 퓨처는 소치의 다크웹 활동을 조사한 결과 다음과 같은 정보를 발견했습니다:

소치의 스니퍼 변종인 Inter에 대해서는 위협 행위자가 2018년 12월부터 광고를 시작했으며, 결제 플랫폼, 특히 마젠토, 오픈카트, 오스커머스는 물론 아이프레임이나 타사 결제 프로세서를 사용하는 웹사이트에서 CNP 결제 데이터를 훔치도록 설계된 범용 스니퍼라고 설명했습니다. 웹사이트의 소스 코드에서 "GetCCInfo:fuction"과 같은 다른 문자열을 검색하는 Inter의 일부 사례가 발견되었습니다.

현재 소치는 Inter 라이선스를 약 1,000달러에 판매하고 있으며, 구매 시 스니퍼의 페이로드, 사용자 설명서, 연중무휴 고객 서비스, 무료 관리자 패널 및 업그레이드가 포함되어 있습니다. Inter는 다음과 같은 기술적 역량과 기능을 갖추고 있습니다:

Billar

"Billar"는 2013년부터 범죄 언더그라운드에서 활동해 온 러시아어를 사용하는 위협 행위자로, "mr.SNIFFA"라는 이름으로도 활동합니다. Billar는 2019년 12월 3일 익스플로잇 포럼에서 처음 광고를 시작한 "mr.SNIFFA"라는 JS 신용 카드 스니퍼의 제작자이자 유일한 디자이너입니다.

신용 카드 스니퍼-1-1.png

**그림 1**: 2019년 12월부터 2020년 7월까지 주목할 만한 빌러 활동. (출처: 레코딩된 미래)

2020년 3월 30일, 유명 해커이자 여러 지하 커뮤니티의 회원인 'Ubercri'는 익스플로잇 포럼 회원들과 구글 검색을 통해 미스터 SNIFFA의 관리자 패널 중 일부를 찾을 수 있어 빌라의 스니퍼 변종에 감염된 비즈니스와 웹사이트를 쉽게 식별할 수 있다고 공유했습니다.

2020년 6월 29일, 숙련된 멀웨어 코더이자 침투 테스터, 리버스 엔지니어인 '레드베어'가 빌라의 운영자를 식별할 수 있는 연구 결과를 XSS 포럼에 발표했습니다. 레드베어에 따르면 빌라는 "미하일 미하일로비치 슈크로바넷"이 운영합니다. 레코디드 퓨처 분석가들은 레드베어의 연구를 검토하고 슈크로바넷을 식별하는 데 사용된 단계를 분석한 결과, 레드베어가 빌라를 식별하기 위해 취한 일부 단계가 법적 또는 윤리적이지 않았음에도 불구하고 레드베어의 연구는 완전하고 정확할 가능성이 높다고 평가했습니다.

현재 Billar는 익스플로잇 포럼에서 약 3,000달러에 미스터 SNIFFA를 광고하고 있습니다. 패키지에는 다음과 같은 기능이 포함되어 있습니다:

Poter

"poter"는 2014년에 일부 포럼에 처음 등록된 하위 포럼인 Monopoly뿐만 아니라 Exploit, Verified, Korovka 등 러시아어를 사용하는 여러 최상위 포럼의 회원입니다. 포터는 전자상거래, 결제 카드 사기, 자금 세탁 등 다양한 유형의 금융 사기 기법에 능숙하고 멀웨어 코딩에도 능숙하며 안드로이드, 애플, 페이팔, 비자, 선트러스트, 플래시 플레이어 및 기타 조직에 적용되는 다양한 피싱 및 사기 웹사이트, 이메일, 관리자 패널, 데이터 그래버 등을 개발한 개발자입니다.

신용 카드 스니퍼-2-1.png

**그림 2**: 다크웹에서 포터의 활동. (출처: 레코딩된 미래)

위협 행위자는 결제 카드 데이터와 피해자의 비밀번호를 훔칠 수 있는 '유니버설 스니퍼'의 개발자로 잘 알려져 있습니다. 이 스니퍼 변종은 2016년 7월 17일 익스플로잇 포럼에 처음 등장했으며 2019년 1월 10일에 동일한 위협 공격자에 의해 제거되었습니다. 포터가 유니버설 스니퍼 광고를 중단한 이유는 명확하지 않으며, 다른 위협 행위자들이 계속해서 비공개적으로 사용할 수도 있습니다.

포터에 따르면 유니버설 스니퍼는 위협 행위자가 정기적으로 업그레이드하는 다음과 같은 기본 기술 기능을 가지고 있다고 합니다:

신용 카드 스니퍼 3-1.png

**그림 3**: 스니퍼 관리자 패널에 손상된 결제 카드 필드 인식 설정이 표시됩니다.

신용 카드 스니퍼-4-1.png

**그림 4**: 손상된 데이터가 있는 스니퍼 인터페이스는 날짜, IP 주소, 사용자 에이전트별로 정렬할 수 있습니다.

처음에는 포터는 스니퍼의 가격을 수천 달러로 책정했지만, 나중에 더 많은 사용자를 유치하기 위해 가격을 수백 달러로 낮췄습니다. 2018년 7월 16일, 포터는 고객이 충분하다고 발표하고 수천 달러에 달하는 스니퍼의 초기 가격을 반환했습니다.

조사 과정에서 Recorded Future는 위에서 언급된 세 명의 위협 행위자가 맞춤형 스니퍼를 통해 수집한 해킹된 카드 정보를 사용하거나 판매했다는 증거를 확인하지 못했습니다. 그러나 스니퍼의 목적은 결제 카드 정보를 훔치는 것이며, 해당 정보는 현금화되지 않으면 가치가 없기 때문에, 해당 카드 정보는 판매되었거나 온라인에서 상품을 구매하는 데 사용된 후 다시 판매되었을 가능성이 매우 높습니다. 모네타이제이션이 어떻게 작동하는지 보여주는 예시는 Magecart 뒤에 있는 위협 행위자들이 두 가지 기술을 모두 사용하는 경우입니다. 연구 결과, Magecart와 관련된 인프라 및 유출된 데이터가 최소 한 개의 다크 웹 카드 사기 사이트인 'Trump’s Dumps'와 연결되어 있으며, 위협 행위자가 도난된 신용카드로 구매한 상품을 수령하고 재발송하는 역할을 하는 중간 전달자를 모집하고 있는 것으로 확인되었습니다.

Magecart

Magecart는 보안 연구자와 미디어가 CNP 데이터를 훔치는 데 사용되는 JS 기반 신용카드 웹 스키머로 이커머스 사이트를 노리는 다양한 위협 행위자를 그룹화하는 데 사용하는 수법입니다. 마젠토 플랫폼의 취약한 플러그인을 실행하는 사이트를 표적으로 삼는 공격자를 지칭하는 이름입니다. 플래시포인트와 리스크인큐는 마그카트가 처음에 2015년에 활동을 시작한 단일 위협 행위자 그룹이었다고 밝혔습니다. 2016년에 두 번째 뚜렷한 그룹이 관찰되었고 그 이후 더 많은 그룹이 나타났습니다. 2019년 7월 이후 메이시스, 스위티 베티, 볼루션, 클레어스 등 여러 분야에 걸쳐 소규모부터 대규모까지 모든 유형의 기업이 Magecart 관련 취약점의 피해를 입었습니다.

2018년 10월부터 본 보고서 작성 시점까지, Recorded Future 분석가들은 Magecart 운영자와 연관된 위협 활동이 최소 95개의 온라인 소매 웹사이트를 대상으로 진행된 것을 관찰했습니다. 자주, 다양한 유형의 스니퍼를 사용하는 서로 다른 위협 행위자 그룹들은 일반적으로 Magecart로 지칭되어 왔습니다. 이 공격 벡터는 널리 퍼져 있는 것처럼 보이지만, Magecart와 관련된 그룹이 최소 12개 이상 존재하고 보고된 공격이 계속되고 있음에도 불구하고, 실제로 이러한 스니퍼를 개발하고 판매하며 유지보수하는 위협 행위자는 극히 드뭅니다.

신용 카드 스니퍼 5-1.png

**그림 5**: 2019년 7월부터 2020년 7월까지 주목할 만한 마그카트 활동 및 공격. (출처: 레코딩된 미래)

2019년과 2020년에 걸쳐 Magecart 운영자들은 주요 표적에 도달하기 위해 타사 공급업체를 공격하는 방식에서 이커머스 웹사이트에 직접 JS 스니퍼 코드를 삽입하여 결제 데이터를 수집하고 나중에 데이터를 명령 및 제어(C2) 서버 또는 지정된 도메인으로 전송하는 방식으로 전환했습니다.

2020년 첫 분기 동안, 2019년 12월에 인도네시아에서 발생한 경찰의 대규모 체포 사건에도 불구하고 Magecart 신용카드 정보 탈취 공격이 계속해서 확산되었습니다. 인터폴은 2020년 1월 27일, Magecart 카드 정보 탈취 작전을 수행한 것으로 확인된 3명이 인도네시아 연방 경찰에 의해 체포되었다고 보고했습니다. 그룹-IB는 수사 당국에 체포로 이어진 정보를 제공한 후, 관련 마게카트 하위 그룹을 “GetBilling”이라고 명명했습니다. 또 다른 보안 업체인 Sanguine Security는 해당 그룹을 추적 중이라고 보고했습니다.

데이터 세트 내에서 이러한 샘플 도메인 중 세 개에 대한 참조가 관찰되었으며, 이전에 Sanguine Security에서 공개하지 않은 새로운 도메인 세 개가 추가로 발견되었습니다. 이 최신 캠페인과 관련된 JS 스니퍼 운영자는 손상된 리테일 웹사이트에 JS를 주입했으며, 이 캠페인 기간 동안 공통된 JS 함수 집합을 사용했습니다. 조사 기간 동안 관찰된 95개의 영향을 받은 웹사이트 중 28개는 2020년 1월에도 여전히 활발하게 감염된 상태였습니다.

위 사건과 유사하게, Magecart와 관련된 그룹인 “Keeper” (도메인 fileskeeper[.]org를 사용했기 때문에) 웹사이트의 HTML 코드에 악성 JavaScript를 삽입하는 공격이 Gemini Advisory에 의해 2017년 4월부터 현재까지 55개국에 걸쳐 최소 570개의 웹사이트에 영향을 미친 64개의 공격자 도메인과 73개의 데이터 유출 도메인을 성공적으로 운영한 것으로 확인되었습니다. 영향을 받은 웹사이트 중 약 85%가 콘텐츠 관리 시스템(CMS)인 Magento를 사용했으며, Recorded Future는 2018년 9월 이후 해당 시스템에서 최소 10건의 확인된 악성 공격 사례를 확인했습니다.

위에서 언급한 Magecart 공격의 규모, 정교함, 지속 기간으로 미루어 볼 때 Magecart 위협 행위자는 기술적으로 능숙하고 웹사이트 보안 개선에 따라 TTP를 조정할 수 있으며 웹사이트의 결제 및 콘텐츠 관리 시스템의 취약점(공개적으로 알려진 것과 알려지지 않은 것 모두)을 기회주의적으로 악용하는 것으로 나타났습니다.

전망 및 완화 전략

다크웹은 더욱 전문화되어 맞춤형 도구와 서비스를 광고하고 이러한 도구를 개선하기 위한 피드백을 제공하며, 위협 행위자가 자신의 기술력과 실력을 과시하여 금전적 보상을 얻는 데 사용되고 있습니다. 위협 행위자가 악성 JS 코드를 삽입하는 데 사용할 수 있는 다양한 공격 벡터와 Magecart 공격과 관련하여 공개적으로 알려진 금전적 성공으로 인해 위협 행위자는 취약한 웹사이트의 결제 프로세스 시스템을 계속 표적으로 삼을 뿐만 아니라 업데이트된 보안 조치 및 경고를 무력화할 수 있는 맞춤형 스니퍼를 계속 개발 및 판매할 가능성이 높습니다. 다크 웹 소스(포럼, 마켓, 암호화된 메신저)는 당분간 위협 행위자와 고객 간의 가교 역할을 계속할 것입니다.

다음은 스니퍼 공격을 탐지하고 예방하는 데 도움이 될 수 있는 완화 전략입니다: