2020年11月，Group-IB专家发现了新一轮的UltraRank攻击。尽管当时发现了新的攻击，但该组织的部分基础设施仍处于活跃状态，一些网站仍受到感染。网络犯罪分子并没有使用现有的域名进行新的攻击，而是切换到新的基础设施来存储恶意代码并收集被拦截的支付数据。

作为UltraRank新活动的一部分，Group-IB威胁情报和分析团队发现了12个被JavaScript嗅探器感染的电子商务网站，他们中的八个在发布之时仍然受到感染。

这次，使用Radix模糊处理对JS嗅探器的代码进行模糊处理。这种模糊模式只有少数网络犯罪集团使用过，其中一个是UltraRank组(图1)。在对代码进行模糊处理后，Group-IB发现攻击使用了SnifLite系列的嗅探器，该嗅探器已为Group-IB专家所熟知，并且被攻击者UltraRank使用。由于受感染网站的数量相对较少，攻击者最有可能使用了CMS管理面板中的凭据，而这些凭证反过来又可能被恶意软件或暴力破解攻击破坏。

在最近的一系列攻击中，UltraRank模仿合法的谷歌标签管理器域将恶意代码存储在网站上。对攻击者基础设施的分析显示，主服务器由Media Land LLC托管。

本文研究了UltraRank的新活动，为银行、支付系统和在线商户提供推荐。你还可以根据我们建议用来防止UltraRank的MITER ATT&CK和MITER Shield找到威胁，攻击者的TTP以及相关的缓解和防御技术的指标。

JS 嗅探器代码分析

从至少2019年1月开始，UltraRank就开始使用SnifLite JS嗅探器系列，当时它被用于攻击广告网络Adverline。恶意代码通过位于hXXp://googletagsmanager网站上的一个JS文件链接上传到受感染的网站。该域名伪装成谷歌标签管理器googletagmanager.com的合法域名。攻击者网站hXXp://googletagsmanager[.]co/也被用来收集截获的支付卡数据作为嗅探器(图2)。