大规模网络攻击劫持东亚网站进行成人内容重定向

自2022年9月上旬以来,一场广泛的恶意网络行动劫持了数千个针对东亚受众的网站,将访问者重定向到成人主题的内容。

正在进行的活动需要向被黑网站注入恶意JavaScript代码,通常使用威胁行为者之前通过未知方法获得的合法FTP凭据连接到目标Web服务器。

“在许多情况下,这些是高度安全的自动生成的FTP凭据,攻击者能够以某种方式获取并利用这些凭据进行网站劫持,”Wiz 在本月发布的一份报告中说。

这家云安全公司指出,被破坏的网站——由小公司和跨国公司拥有——利用不同的技术堆栈和托管服务提供商,这使得追踪一个共同的攻击媒介变得困难。

话虽如此,这些网站之间的一个共同点是它们中的大多数要么托管在中国,要么托管在其他国家,但都是为中国用户准备的。

更重要的是,托管恶意JavaScript代码的URL被地理围栏以限制其在某些东亚国家/地区的执行。

还有迹象表明,该活动也将目光投向了Android,重定向脚本将访问者引导至赌博网站,敦促他们安装应用程序(APK 包名称“com.tyc9n1999co.coandroid”)。

威胁行为者的身份尚不清楚,虽然他们的确切动机尚待确定,但怀疑其目标是进行广告欺诈和SEO操纵,或者为这些网站带来无机流量。

攻击的另一个值得注意的方面是没有网络钓鱼、网页浏览或恶意软件感染。

研究人员Amitai Cohen和Barak Sharoni表示:“我们仍然不确定威胁行为者是如何获得这么多网站的初始访问权限的,而且除了使用FTP之外,我们还没有发现受影响服务器之间的任何重要共同点。”

“尽管鉴于攻击的复杂程度明显较低,威胁参与者不太可能使用0-day漏洞,但我们不能排除这种可能性。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4917.html

标签