自2022年9月初以來,一場廣泛的惡意網絡行動劫持了數千個針對東亞受衆的網站,將訪問者重定向到成人主題的內容。
正在進行的行動需要向被黑客攻擊的網站注入惡意JavaScript代碼,通常使用威脅行爲者之前通過未知方法獲得的合法FTP證書連接到目標web服務器。
Wiz在本月發表的一份報告中說:“在許多情況下,這些都是高度安全的自動生成的FTP憑證,攻擊者以某種方式能夠獲得並利用這些憑證來劫持網站。”
這家雲安全公司指出,這些被攻破的網站(既有小公司,也有跨國公司)使用不同的技術堆棧和託管服務提供商,這使得追蹤共同的攻擊載體變得困難。
話雖如此,這些網站的一個共同點是,它們中的大多數要麼在中國託管,要麼在另一個國家託管,但都是爲中國用戶準備的。
更重要的是,託管惡意JavaScript代碼的url被地理隔離,以限制其在某些東亞國家的執行。
也有跡象表明,該活動也將目光投向了Android,重定向腳本將訪問者引向博彩網站,敦促他們安裝應用程序(APK包名稱爲“com.tyc9n1999 .co .coandroid”)。
威脅行爲者的身份尚不清楚,儘管他們的確切動機尚未查明,但懷疑其目標是進行廣告欺詐和SEO操縱,或者爲這些網站增加無機流量。
攻擊的另一個值得注意的方面是沒有網絡釣魚、網頁瀏覽或惡意軟件感染。
研究人員Amitai Cohen和Barak Sharoni說:“我們仍然不確定威脅行爲者是如何獲得對這麼多網站的初始訪問權限的,除了使用FTP之外,我們還沒有發現受影響的服務器之間有任何顯著的共同點。”
“儘管考慮到攻擊的複雜程度明顯較低,威脅行爲者不太可能使用0日漏洞,但我們不能排除這種可能性。”
聲明:本文相關資訊來自thehackernews,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站處理。