云安全初创公司 Wiz 警告说,一场广泛的重定向活动已经导致数千个针对东亚受众的网站使用合法的 FTP 凭据遭到破坏。
在许多情况下,攻击者设法获得高度安全的自动生成的 FTP 凭据,并使用它们劫持受害网站,将访问者重定向到成人主题的内容。
该活动可能自 2022 年 9 月以来一直在进行,已导致至少 10000 个网站遭到入侵,其中许多网站由小公司拥有,一些由大公司运营。
托管服务提供商和技术堆栈的差异使得很难确定一个共同的入口点。
作为最初观察到的事件的一部分,攻击者向受感染的网页添加了一行 HTML 代码,以引用远程托管的 JavaScript 脚本的脚本标记的形式。
注入的标签导致 JavaScript 脚本被下载并在网站访问者的机器上执行。
在某些情况下,JavaScript 代码被直接注入到受感染服务器上的现有文件中,可能是通过 FTP 访问,这排除了恶意广告的可能性。
这家网络安全初创公司已经确定了许多与该活动相关的服务器,这些服务器提供的 JavaScript 变体显示出许多相似之处,这表明它们紧密相关,即使不是同一活动的一部分。
JavaScript 重定向代码在将访问者重定向到目标网站之前检查特定条件,包括概率值、受害者机器上设置的 cookie、访问者是否是爬虫以及他们是否使用 Android。
最初,还观察到 JavaScript 代码对用户的浏览器进行指纹识别,并将收集到的信息发送到攻击者控制的基础设施。
但是,该行为自 2022 年 12 月以来未发生过。
还观察到重定向脚本的其他变化,包括 2023 年 2 月在重定向链中添加了中间服务器。
在某些情况下,网站管理员删除了恶意重定向,却发现它很快又重新出现了。
该活动的目标可能是广告欺诈或 SEO 操纵,但也有可能攻击者只是想增加目标网站的流量。
然而,威胁行为者也可能决定滥用获得的访问权限来执行其他恶意活动。
仍然不确定威胁行为者是如何获得这么多网站的初始访问权限的,而且除了使用 FTP 之外,我们还没有发现受影响服务器之间的任何重要共同点。
虽然鉴于攻击的复杂性明显较低,威胁参与者不太可能使用 0day 漏洞,但我们不能排除这种可能性。