支付卡浏览活动现在针对北美的网站

一年多来，一个讲中文的威胁行为者一直在亚太地区的电子商务网站和销售点服务提供商处窃取信用卡号码，现在也开始瞄准北美和拉丁美洲的类似目标。

在至少自 2023 年 5 月以来的一系列攻击中，攻击者利用 Web 应用程序中的漏洞（包括中国铪集团在网络间谍活动中使用的一个漏洞）来访问属于多个行业部门的组织的网站。这些攻击的主要目标是访问这些网站上的支付页面，并投放用于窃取在线购物用户卡号的恶意软件。

无声撇渣运动

黑莓的研究人员发现了该活动，并将其追踪为“Silent Skimmer”。在本周的一篇博客文章中，他们将该活动描述为技术上复杂的活动，并且很可能涉及高级或经验丰富的威胁参与者。

盗卡攻击当然不是什么新鲜事。事实上，研究人员多年来一直追踪的名为Magecart 的松散黑客组织已经成功窃取了全球数亿在线购物者的支付卡数据。在许多此类攻击中，威胁行为者瞄准了第三方软件组件和插件（例如页面浏览计数器和访客跟踪小部件）中的漏洞，并向其中注入了卡片窃取代码。

近年来，数十万电子商务网站成为 Magecart 攻击的受害者，其中包括英国航空公司、Ticketmaster、Newegg 等。

Silent Skimmer 活动的运营者一直在伺机利用面向 Web 的应用程序中的漏洞来获得对网站的初始访问权限。威胁行为者攻击的许多站点都托管在 Microsoft 的 Internet 信息服务 (IIS) Web 服务器软件上。威胁行为者在其活动中利用的漏洞之一是 CVE-2019-18935，这是 Telerik UI 中的一个关键远程代码执行错误，Telerik UI 是 Progress Software 的一套组件和 Web 开发工具。在其活动中使用该漏洞的组织包括中国的Hafnium 集团和越南的 XE 集团。

如果目标Web服务启用了写权限，则该漏洞利用程序会将恶意动态链接库（DLL）上传到其特定目录。然后，DLL 启动一系列步骤，导致在网站上安装用于窃取信用卡和借记卡数据的恶意软件。

技术复杂的战役

黑莓研究人员观察到威胁行为者使用多个单独的工具进行权限升级，以及远程访问工具、远程代码执行漏洞、恶意软件暂存器/下载器以及漏洞利用后活动工具。正如当今恶意软件活动的常见情况一样，Silent Skimmer 的运营商在许多攻击中依赖了大量合法的开源工具、二进制文件和脚本。

Silent Skimmer 背后的威胁行为者技术精湛的一个迹象是，它如何根据受害者的地理位置重新调整其命令和控制 (C2) 基础设施。在此次活动中，威胁行为者使用虚拟专用服务器 (VPS)（通常在 Microsoft 的 Azure 平台上）作为新获释目标的 C2 服务器。每个 C2 服务器的在线时间通常不到一周，并且通常与受害者位于同一地区或国家。例如，对于加拿大受害者，黑莓发现威胁行为者在加拿大设置了 VPS，而对于美国受害者，VPS 服务器通常与受害者位于同一州。

黑莓表示，这一策略的目标是确保进出受感染服务器的流量与正常流量混合。