Ngày 13 tháng 3 năm 2023Ravie LakshmananAn ninh web / Mối đe dọa mạng
Kể từ đầu tháng 9 năm 2022, một hoạt động mạng độc hại lan rộng đã chiếm quyền điều khiển hàng nghìn trang web nhắm đến khán giả Đông Á để chuyển hướng khách truy cập đến nội dung có chủ đề người lớn.
Chiến dịch đang diễn ra đòi hỏi phải tiêm mã JavaScript độc hại vào các trang web bị tấn công, thường kết nối với máy chủ web mục tiêu bằng thông tin đăng nhập FTP hợp pháp mà tác nhân đe dọa đã lấy được trước đó thông qua một phương pháp không xác định.
Wiz cho biết trong một báo cáo được công bố trong tháng này: “Trong nhiều trường hợp, đây là những thông tin xác thực FTP được tạo tự động có độ bảo mật cao mà kẻ tấn công bằng cách nào đó có thể lấy được và tận dụng để chiếm quyền điều khiển trang web”.
Công ty bảo mật đám mây lưu ý rằng thực tế là các trang web bị vi phạm – thuộc sở hữu của cả các công ty nhỏ và tập đoàn đa quốc gia – sử dụng các kho công nghệ và nhà cung cấp dịch vụ lưu trữ khác nhau đã gây khó khăn cho việc theo dõi một vectơ tấn công chung.
Điều đó có nghĩa là, một trong những mẫu số chung giữa các trang web là phần lớn trong số chúng được lưu trữ ở Trung Quốc hoặc được lưu trữ ở một quốc gia khác nhưng được ưu tiên cho người dùng Trung Quốc.
Hơn nữa, các URL lưu trữ mã JavaScript lừa đảo được định vị địa lý để hạn chế việc thực thi ở một số quốc gia Đông Á.
Cũng có những dấu hiệu cho thấy chiến dịch cũng đã nhắm đến Android, với tập lệnh chuyển hướng dẫn khách truy cập đến các trang web cờ bạc thúc giục họ cài đặt ứng dụng (tên gói APK “com.tyc9n1999co.coandroid”).
Danh tính của tác nhân đe dọa vẫn chưa được biết và mặc dù động cơ chính xác của chúng vẫn chưa được xác định, nhưng người ta nghi ngờ rằng mục tiêu là thực hiện gian lận quảng cáo và thao túng SEO, hoặc cách khác là hướng lưu lượng truy cập vô cơ đến các trang web này.
Một khía cạnh đáng chú ý khác của các cuộc tấn công là không có hành vi lừa đảo, lướt web hoặc lây nhiễm phần mềm độc hại.
Các nhà nghiên cứu Amitai Cohen và Barak Sharoni cho biết: “Chúng tôi vẫn không chắc chắn về cách thức mà tác nhân đe dọa đã có được quyền truy cập ban đầu vào rất nhiều trang web và chúng tôi vẫn chưa xác định được bất kỳ điểm tương đồng đáng kể nào giữa các máy chủ bị ảnh hưởng ngoài việc sử dụng FTP của chúng”.
“Mặc dù không chắc rằng tác nhân đe dọa đang sử dụng lỗ hổng 0 ngày do mức độ phức tạp rõ ràng của cuộc tấn công thấp, nhưng chúng tôi không thể loại trừ khả năng này.”
