请注意你的隐私！朝鲜 Lazarus APT 窃取美国和欧盟商店的信用卡数据

与朝鲜有联系的Lazarus APT至少已经从美国和欧洲的大型零售商的客户那里窃取了付款卡数据。

Sansec研究人员报告说，与朝鲜有联系的Lazarus APT小组至少已经从美国和欧洲的大型零售商的客户那里窃取了付款卡信息。

威胁者破坏了合法网站，利用电子分离器窃取了被盗的信用卡数据。

过去，APT的目标银行和加密货币交易所，据专家称，整体运营使该集团赚了20亿美元。

Lazarus Group的活动在2014年和2015年激增，其成员在攻击中主要使用了定制的恶意软件，对机组人员进行调查的专家认为，该恶意软件非常复杂。

自从至少2009年（可能最早于2007年）以来，这个威胁行动者就一直活跃，并且参与了旨在破坏数据和破坏系统的网络间谍活动和破坏活动。

当研究人员发现恶意代码是从涉及Lazarus APT鱼叉式网络钓鱼活动的域中加载的时，研究人员正在调查电子掠夺攻击。

攻击中使用的电子分离器代码共享相同的代码库，受害者名单包括数十家商店，例如配饰巨头Claire，Focus Camera，CBD Armour，Microbattery和Realchems。

为了躲在雷达下，攻击者破坏了合法企业的网站，以开展掠夺活动。攻击者入侵了属于意大利模特经纪公司（Lux Model Agency），来自Tehran的老式音乐商店以及位于New Jersey的一家书店的网站，

“为了使撇油业务获利，HIDDEN COBRA开发了一个全球渗漏网络。该网络利用合法的站点，这些站点被劫持并重新用于伪装成犯罪活动。” 研究人员发表的报告中写道。“该网络还可以用来对被盗资产进行归类，以便可以在暗网市场上出售它们。Sansec已经确定了许多这样的渗透节点，包括米兰的模特经纪公司，Tehran的古董音乐商店和New Jersey的家庭书店。”

朝鲜黑客还使用类似于受害者商店的域名进行注册，以避免在泄露支付卡数据时被发现。这种策略在c中非常普遍。

Sansec研究人员将多次袭击中使用的渗透域与平壤联系起来。威胁参与者使用以下被劫持站点之一作为加载程序和卡片收集器：

• stefanoturco.com（在2019-07-19和2019-08-10之间）
• technokain.com（在2019-07-06和2019-07-09之间）
• darvishkhan.net（在2019-05-30和2019-11-26之间）
• areac-agr.com（在2019-05-30和2020-05-01之间）
• luxmodelagency.com（介于2019-06-23和2020-04-07之间）
• Signedbooksandcollectibles.com（在2019-07-01和2020-05-24之间）

研究人员提供了他们分析过的每个活动的详细信息。

在某些攻击中，该恶意软件在24小时内从受感染的站点中消失，并在几天后重新出现在同一家商店中，与此同时，被盗的数据被重定向到另一个域。

研究人员指出，他们不能排除这些攻击可能由其他威胁行为者发动，但是可能性很小。

“ Sansec找到了全球掠夺活动的证据，这些活动与此前记录的朝鲜黑客活动有多个独立的联系。Sansec认为，至少从2019年5月起，朝鲜政府赞助的演员就开始进行大规模的数字掠影活动。” 研究人员总结道。