CosmicSting: как 4275 онлайн-магазинов были захвачены за считанные секунды

По данным экспертов из компании Sansec, в течение этого лета киберпреступники взломали около 5% всех магазинов на Adobe Commerce и Magento, включая такие крупные бренды, как Ray-Ban, National Geographic, Cisco, Whirlpool и Segway. Атаки были осуществлены семью разными группами, использующими уязвимость CosmicSting для внедрения вредоносного кода.

Исследование показало, что с момента публикации уязвимости CVE-2024-34102 (также известной как CosmicSting) в июне хакеры взломали более 4275 онлайн-магазинов. Несмотря на предупреждения об угрозе, многие бизнесы оказались в зоне риска и подверглись атакам с использованием платёжных скиммеров на страницах оплаты.

После присвоения уязвимости статуса критической 8 июля, начались массовые автоматизированные атаки. Тысячи секретных криптографических ключей были украдены, а их прежняя версия не была автоматически отозвана при обновлении системы. Adobe выпустила руководство по ручному удалению устаревших ключей, но не все владельцы магазинов последовали этим рекомендациям.

Каждая из семи хакерских групп стремилась использовать CosmicSting для кражи секретных криптографических ключей Magento и доступа к данным клиентов. Полученные ключи позволяли генерировать токены авторизации API, через которые хакеры внедряли платёжные скиммеры на странице оплаты. Интересно, что уязвимость не позволяла первым взломавшим группам блокировать доступ другим злоумышленникам, что привело к борьбе за контроль над одним и тем же магазином.

Группы применяли различные методы для сокрытия и внедрения вредоносного кода. Чтобы их было проще отслеживать и различать, эксперты Sansec присвоили им названия в честь животных-грызунов. Причём весьма забавно, что получились эти названия путём транслитерации с кириллицы:

Например, группа, которую специалисты отслеживали под псевдонимом «Бобры» маскировала вредоносное ПО с помощью невидимых символов Unicode, которые при расшифровке превращались в JavaScript. Группа «Полёвки» внедряла вредоносный код с помощью простого скрипта через ресурс cdnstatics.net. В то же время «Сурки» использовали номер 42 для шифрования своего вредоносного кода, работая через подозрительные домены.

Другие группы, такие как «Бурундуки», «Хомяки», и «Белки» — также вели масштабные кампании, применяя свои уникальные методы взлома и распространения вредоносного кода. Например, «Белки» использовали комбинацию CosmicSting и CNEXT для выполнения произвольного кода на сервере жертвы, внедряя бэкдоры и скрытые процессы.

Sansec настоятельно рекомендует владельцам магазинов на Magento и Adobe Commerce обновить свои системы до последней версии, а также изменить и отозвать старые криптографические ключи. Применение специализированных средств мониторинга на серверной стороне также поможет защитить магазин от подобных атак.

Массовые атаки CosmicSting стали возможны из-за недостаточной осведомлённости владельцев магазинов и сложности внедрения корректных мер защиты. Sansec сообщает, что ни один из их клиентов не пострадал от этих атак, но прогнозирует дальнейшее увеличение числа взломанных магазинов в ближайшие месяцы, поскольку около 75% магазинов на Adobe Commerce и Magento ещё не установили необходимые патчи.