資安研究人員在 Source Defense 發現一個大規模的數位竊取活動,利用以太坊 blockchain 作為指揮控制基礎設施。攻擊者運用以太坊智能合約來管理惡意基礎設施,而非傳統的主機提供商,這使得伺服器與域名能快速輪換。此方法大幅增加資安團隊與執法單位透過傳統拆除程序封鎖基礎設施的難度。該活動展現區塊鏈技術如何被濫用,使惡意操作更具韌性,同時也提高偵測信用卡盜刷行為的複雜度。
研究人員辨識出超過 15 個支援協調數位竊取活動的以太坊智能合約,該活動針對線上購物平台。調查發現,該活動包含多個協調的基礎設施群集與數十個相關域名。一旦啟動,惡意軟體會部署一個高階的支付竊取器,能攔截線上結帳流程。
與傳統 Magecart 攻擊直接將惡意域名嵌入受感染網站不同,此活動將路由資訊存放在以太坊智能合約中。受感染的網站在下載第二階段的惡意載荷前,會從區塊鏈中取得活躍的基礎設施資訊。據報導,該惡意軟體會取代合法的支付介面,並生成逼真的仿冒品,旨在收集顧客的信用卡資料、個人資訊與裝置資料,然後將盜取的資訊傳送給攻擊者。
這種去中心化的方法使攻擊者能在不更改感染網站中嵌入的惡意程式碼的情況下,修改基礎設施,提升操作彈性,同時降低被偵測的可能性。Source Defense 指出,基於區塊鏈的基礎設施為 cybercriminals 提供了一個有效的逃避傳統安全控制的途徑,因為沒有中央主機提供商可以被施壓以移除惡意服務。
研究人員指出,攻擊者開發出能繞過傳統支付安全措施的技術,凸顯僅依賴 PCI DSS 4.0 合規的限制。處理信用卡資料的組織預期須遵守 PCI DSS 4.0 的規定,包括在持卡人資料環境中實施強多重認證。然而,研究人員認為,演變中的攻擊技術已展現出能繞過部分保護措施與標準指導的能力。
Source Defense 的行銷長 Stephen Ward 表示,許多組織尚未完全實施 PCI DSS 4.0,儘管其對處理信用卡資料的商家是強制性的。他指出,執行力度可能因為負責合規的組織與商家之間存在商業關係,導致施加嚴格罰則的意願降低。
報告認為,客戶端安全在許多組織中仍未受到足夠重視。研究人員指出,安全控制措施的實施不一致,以及過度強調法規遵循而非全面資安,讓許多電子商務平台暴露在日益複雜的攻擊之下。
區塊鏈網路的去中心化特性,為資安專業人員帶來額外挑戰,難以阻斷持續進行的攻擊。Ward 建議資安團隊應準備迎接更多 cybercriminals 採用區塊鏈技術的趨勢。他指出,隨著區塊鏈平台越來越多地融入惡意行動,攻擊可能變得更頻繁且更為複雜,使得阻止行動變得更加困難。
雖然目前尚不確定 cybercriminals 在多大程度上採用區塊鏈基礎設施,研究人員建議,國際執法機關的合作增加,可能會促使威脅行為者轉向本身更抗拆除的去中心化技術。他們提到,人工智慧的進步或許能最終提升惡意基礎設施的辨識能力,但也警告資安團隊在短期內應預期對手會持續利用區塊鏈平台所提供的匿名性與韌性。
這些發現顯示,去中心化的區塊鏈基礎設施可能使未來的網路犯罪行動更具韌性,同時也迫使資安團隊採用更先進的偵測方法,包括人工智慧驅動的威脅分析。
Source Defense 的研究人員對 Magecart 竊取活動有何發現?
研究人員辨識出一個利用超過 15 個以太坊智能合約作為指揮控制基礎設施的大規模數位竊取活動。該活動針對線上購物平台,並利用區塊鏈技術管理惡意基礎設施,使攻擊者能快速輪換伺服器與域名,同時避開傳統拆除程序。
此活動如何繞過 PCI DSS 4.0 安全措施?
研究人員指出,攻擊者開發出能繞過 PCI DSS 4.0 所建立的傳統支付安全措施的技術。惡意軟體會用仿冒的支付介面取代合法的,並收集信用卡資料、個人資訊與裝置資料。研究人員認為,演變中的攻擊技術已展現出能避開部分保護措施與指導方針,凸顯僅依賴合規的限制。
為何基於區塊鏈的基礎設施難以由當局封鎖?
區塊鏈基礎設施沒有中央主機提供商,當局無法施壓以移除惡意服務。其去中心化特性為資安專業人員帶來額外挑戰,使得阻斷持續攻擊變得更困難。攻擊者能在不更改網站中嵌入的惡意程式碼的情況下,修改基礎設施,提升操作彈性,同時降低被偵測的可能性。
相關新聞