Тысячи взломанных сайтов в Восточной Азии перенаправляют посетителей на другие сайты

security IOC

С начала сентября 2022 года неизвестный субъект угрозы успешно взломал десятки тысяч веб-сайтов, ориентированных в основном на восточноазиатскую аудиторию, перенаправив сотни тысяч их пользователей на сайты взрослой тематики. В каждом случае угроза внедряла вредоносный код на веб-страницы, предназначенные для клиентов, который собирал информацию об окружении посетителей и периодически перенаправлял их на другие сайты в зависимости от случайности и страны, в которой находится пользователь.

Среди взломанных сайтов много сайтов, принадлежащих небольшим компаниям, и несколько сайтов, управляемых транснациональными корпорациями. Они отличаются по своему техническому уровню и услугам хостинга, что затрудняет определение конкретной уязвимости, неправильной конфигурации или источника утечки учетных данных, которыми могли воспользоваться угрожающие лица. В нескольких случаях, включая honeypot, который Wiz создали для исследования этой активности, угрожающий субъект подключался к целевому веб-серверу, используя законные учетные данные FTP, которые он каким-то образом получил ранее.

Хотя Wiz Threat Research не смогли определить, как эти угрожающие субъекты получали первоначальный доступ к затронутым веб-серверам или откуда они брали свои украденные учетные данные. Учитывая характер целевых веб-сайтов, мы считаем, что мотивы угроз, скорее всего, финансовые, и, возможно, они намерены просто увеличить трафик на эти веб-сайты из определенных стран и не более того. Однако воздействие на взломанные веб-сайты и их пользовательский опыт равносильно порче, и любые слабые места, которыми воспользовался злоумышленник для получения первоначального доступа к этим веб-сайтам, могут быть использованы другими злоумышленниками для нанесения большего вреда.

Indicators of Compromise

URls

  • a.msstatic.net/main3/common/assets/template/head/ad.tmpl_a9b7.js
  • beacon-v2.helpscout.help/static/js/vendor.06c7227b.js
  • cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js
  • cdn-go.net/vasdev/web_webpersistance_v2/v1.8.2/flog.core.min.js
  • minjs.us/static/js/min.js
  • pc.googlesyndication.wiki/sodar/sodar2.js
  • s3a.pstatp.org/toutiao/push.js
  • stat.51sdk.org/*
  • tpc.cdn-linkedin.info/js/vendor.5b3ca61.js
  • widget-v4.tidiochat.net/*
  • www.metamarket.quest/market.js

Domains

  • 22332299.com
  • alibb1.xyz
  • alibb2.xyz
  • alibbvod.com
  • alivod1.com

SHA256

  • 08d6092832ab0631cb45415707fe6e262a205d1809a064ed9aa577647a39ba8e
  • 0a1cecea008b34bcbc8db9f4f56077a02492b3970cfe59fd8e96a08655c81cc2
  • 271a25666415ef308797072fbd710d8ddba82d181010182dedd1384bac0a5c3c
  • 30ec43c09bc09a4224001acb4af67126d5f2c58a2120c3e9f606c719ab6c826b
  • 4770fdd231dccd6775a561fbf9c9dc16c0009aaea934107f5d7e9a79e10295d7
  • 50bf3385e888eee5e31a92d71c9a194b3bdfb62760b9cc069b962ef9d3b5646f
  • 5e100ab9bfb7fea33e294f56ece82cfd50c8f5cce86aaacc6bd50f4c58ccaec7
  • 6b5313f3ef4b260bebe59df8af4f1f1b7c112e0def8666d57e6033db381dea2c
  • 7259f39c86e94cf04b5843946e669e093955d37ca2e7ea1dd88fdd5d63698f61
  • 76acbfd3312024f2c3046ead1c6da8d1bb832cb9e71fe74a4977f9e30067cfb3
  • 7873091e8596080c441dd07dae1f6bb6486aa160e9f3fc728425ae3293420d62
  • 8ac547a78fb6a06aaac7562be6423362b4ac23e5dd89ab82819f2116688f76e8
  • 952a70429797ca33ffc8d3344feec6c24ff4b72e03c01dbc0bd12967d5688fbb
  • a39970152a2d753c4fb449b15617820c72d02c3489f99155131f68376edc714e
  • abdf025595c1e544d7a33432d4a8b2ed0a0170bc4d1657312396e14d277dc2d1
  • c1049a0e6437f01007b2c4eeb2ce1bcfa4f2e1ece02bef617d3adb1b76b7fb1c
  • deb980b8dbce4914e4ce5f5b9c1245d5aef9dc58ba530b8b1f4a63d0669aee2d
  • ed7970300fa87fefdd991d68166cbd5ca6c3f5e0b90202a24c73bb048325ec62
SEC-1275-1
Добавить комментарий