自2022年9月初以来,一场广泛的恶意网络行动劫持了数千个针对东亚受众的网站,将访问者重定向到成人主题的内容。
正在进行的行动需要向被黑客攻击的网站注入恶意JavaScript代码,通常使用威胁行为者之前通过未知方法获得的合法FTP证书连接到目标web服务器。
Wiz在本月发表的一份报告中说:“在许多情况下,这些都是高度安全的自动生成的FTP凭证,攻击者以某种方式能够获得并利用这些凭证来劫持网站。”
这家云安全公司指出,这些被攻破的网站(既有小公司,也有跨国公司)使用不同的技术堆栈和托管服务提供商,这使得追踪共同的攻击载体变得困难。
话虽如此,这些网站的一个共同点是,它们中的大多数要么在中国托管,要么在另一个国家托管,但都是为中国用户准备的。
更重要的是,托管恶意JavaScript代码的url被地理隔离,以限制其在某些东亚国家的执行。
也有迹象表明,该活动也将目光投向了Android,重定向脚本将访问者引向博彩网站,敦促他们安装应用程序(APK包名称为“com.tyc9n1999 .co .coandroid”)。
威胁行为者的身份尚不清楚,尽管他们的确切动机尚未查明,但怀疑其目标是进行广告欺诈和SEO操纵,或者为这些网站增加无机流量。
攻击的另一个值得注意的方面是没有网络钓鱼、网页浏览或恶意软件感染。
研究人员Amitai Cohen和Barak Sharoni说:“我们仍然不确定威胁行为者是如何获得对这么多网站的初始访问权限的,除了使用FTP之外,我们还没有发现受影响的服务器之间有任何显著的共同点。”
“尽管考虑到攻击的复杂程度明显较低,威胁行为者不太可能使用0日漏洞,但我们不能排除这种可能性。”
声明:本文相关资讯来自thehackernews,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。