据研究人员报告称，威胁行为者使用合法的 FTP 凭据入侵了数千个网站以劫持流量。

网络安全公司Wiz发布报告称，自2022年9月上旬以来，威胁者入侵了数万个针对东亚用户的的网站，将数十万用户重定向到成人主题内容。

威胁行为者使用用于管理Web应用程序的FTP的合法凭据获得了对网站的访问权限。在某些情况下，攻击者获取的密码强度很大，不太可能包含在用于暴力攻击的字典中。 

“自2022年9月上旬以来，一个未知的威胁行为者已成功入侵数万个主要针对东亚受众的网站，将数十万用户重定向到成人主题内容。” “在每种情况下，威胁行为者都将恶意代码注入到面向客户的网页中，这些网页旨在收集有关访问者环境的信息，并偶尔将他们重定向到这些其他网站。”

许多受感染的网站属于小公司，而其他一些则由大公司运营。

一旦获得对目标网站的访问权限，攻击者就会通过添加一行 HTML 代码来修改现有网页，代码的形式是引用远程托管的 JavaScript 脚本的脚本标记。对许多攻击的相关 FTP 日志的分析表明，威胁行为者从静态 IP 地址(172.81.104[.]64) 连接到这些 FTP 端点。

研究人员报告说，在某些情况下，一旦获得 FTP 凭据，攻击者就会将JavaScript代码直接注入到受感染服务器上的现有文件中。

JavaScript脚本中实现的重定向逻辑检查一组特定条件。只有满足这些条件，该技术才允许将访问者重定向到目标网站。

专家们注意到重定向过程随着时间的推移而发生了变化。受感染网站的访问者最初被直接重定向，但从2月开始，他们通过四个已知中间服务器之一重定向，这些服务器的URL伪装成合法网站。

“根据SimiliarWeb的数据，上述中间服务器每月处理数十万访问者——绝大多数来自东亚——并且一些活动在不同时期比其他活动更活跃，这可能与变化有关前面提到的每个活动的“概率”字段。”

研究人员报告说，在某些情况下，受感染网站的管理员在意识到受到危害后删除了恶意重定向，但此后不久又重新出现。 

分析报告中总结道：“我们仍然不确定威胁行为者是如何获得这么多网站的初始访问权限的，而且除了使用 FTP 之外，我们还没有发现受影响服务器之间的任何重要共同点。尽管鉴于攻击的复杂性明显较低，威胁参与者不太可能使用0day漏洞，但我们不能排除这种可能性，”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4615.html