安全是有分量的

ddos防火墙_ddos防火墙网桥版_秒解封

2022-05-12 17:30栏目:动态

ddos防火墙_ddos防火墙网桥版_秒解封

研究人员说,与朝鲜政府有联系的黑客在去年年初开始的一场事先未经记录的活动中,利用网络浏览技术窃取加密货币。

这些攻击损害了至少三家在线商店的客户,并依赖于用于网络浏览活动的基础设施,过去归因于Lazarus APT,也称为隐藏眼镜蛇。

针对加密货币友好型商店

在去年公布的研究中,荷兰网络安全公司Sansec揭露了Lazarus自2019年以来一直在从美国和欧洲大型零售商的在线购物者那里获取支付卡数据的业务。

这些攻击中使用的恶意JavaScript代码(也称为JS sniffer或web skimmer)收集了客户在结账页面上输入的支付卡详细信息。

其中一项活动于2019年5月开始,由于代码中隐藏了一个字符串,因此被跟踪为"clientToken="。活动ID和攻击中使用的JS嗅探器指向Lazarus旨在窃取加密货币的活动。

IB集团网络安全公司的研究人员从Sansec的发现开始进行的调查显示,朝鲜黑客在2020年还攻击了接受加密货币支付的网上商店。

攻击者修改了"clientToken="活动中的恶意JavaScript,以便将商店的比特币地址替换为他们控制的地址。这样,网上购物者的钱就会落入攻击者的钱包。

重用基础设施和工具

将恶意脚本称为Lazarus BTC转换器,IB集团的研究人员表示,该脚本的功能名称与"clientToken="活动中使用的略读器相同。

根据这项研究,攻击者于2020年2月底开始使用修改后的脚本,并使用与先前的网页浏览活动相同的基础设施。其中一个网站是luxmodelagency[.]com.

IB集团表示,他们发现了两个装有Lazarus BTC Changer的受损网站,这两个网站在Sansec描述的最初"clientToken="活动中也受到了感染:Realchems和Wongs珠宝商。

不过,在这两个公司中,只有RealChem接受加密货币支付。研究人员认为,在王氏珠宝商的案例中,威胁演员添加了错误的恶意脚本。

研究人员称,Lazarus BTC转换器曾一度出现在第三名受害者的家意大利豪华服装店,但在分析时,该脚本已从网站上删除。

这位演员在2020年3月底对这项技术做了一些修改,他们在页面上的iframe元素中打开的脚本中添加了一个虚假的支付表单。

这样做的结果是,通过cdn防御ddos,商店的BTC钱包不再需要更换,抗ddos防御,客户将直接将加密货币发送到威胁参与者的地址。

研究人员说,所有目标都使用了相同的形式,即使它看起来是为一个受害者Realchems量身定做的。然后,演员使用单文件浏览器扩展名保存它。

仔细查看代码,vps怎么防御ddos,IB组发现它已被保存,如何做好ddos的防御,并发现另一个指向韩国演员的提示:在保存网页时,SingleFiles创建的注释中有格林威治标准时间的韩文文本,提示使用韩文区域设置的系统。

小规模的竞选活动意味着一次试演

尽管去年年初开始了竞选活动,但这位演员似乎没有赚多少钱。从恶意脚本中提取的一组四个加密货币地址表示获利。

然而,只有前两个比特币钱包在Lazarus BTC转换器活动期间处于活动状态。第三个比特币地址自1月7日起只有一笔交易,以太坊钱包自2019年7月起一直处于活动状态,本可用于其他业务。

不过,根据交易情况,IB集团能够确定,在提取加密货币时,攻击者转移的比特币不到一枚,价值接近8500美元。

研究人员跟踪了Lazarus BTC转换器样本中BTC地址的所有传出交易,发现它们都指向一个地址。

与攻击者地址相关的先前活动表明他们使用了支付服务提供商CoinPayments,该服务提供商与在线商店和支付网关集成,以提供加密货币支持。

如果该威胁行为人确实使用CoinPayment将资金转移到其他加密货币地址,则该公司的"了解您的客户"(KYC)政策可以帮助识别实施攻击的人,至少在理论上是这样。

需要注意的是,尽管有KYC政策,网络罪犯仍可以使用一些方法和服务来隐藏自己的身份。

这场小规模的战役让研究人员相信,这只是一套新的工具和战术的测试,可以在以后用于更大的目标。

根据Sansec研究和其自身的证据,IB集团将这些攻击归因于高度自信的朝鲜黑客集团。

,免费高防国外cdn