攻击涉及获取网店后端服务器的访问权限,通常是通过向员工发送诱杀邮件来获取他们的密码来实现。黑客在4月和6月潜入了饰品店Claire's的网站。一旦网站被入侵,恶意脚本就会在结账页面上加载,在信用卡细节被输入表格时窃取。一旦交易完成,被截获的数据就会被发送到黑客组织控制的收集服务器,并在暗网上出售。
该集团建立了一个全球渗透网络,以使掠夺行动获利。这包括劫持和重新利用合法网站,作为犯罪活动的伪装,并输送被盗资产。米兰的一家模特经纪公司、德黑兰的一家古董音乐商店和新泽西的一家家庭经营的书店都是该网络的一部分。
Sansec的研究人员发现,活动与之前的朝鲜黑客行动之间存在联系。证据指向Hidden Cobra,又名Lazarus集团,该集团是2014年索尼影业黑客攻击、2016年孟加拉国银行抢劫案的幕后黑手,并被广泛认为是WannaCry恶意软件的始作俑者。
