С начала сентября 2022 года неизвестный субъект угрозы успешно взломал десятки тысяч веб-сайтов, ориентированных в основном на восточноазиатскую аудиторию, перенаправив сотни тысяч их пользователей на сайты взрослой тематики. В каждом случае угроза внедряла вредоносный код на веб-страницы, предназначенные для клиентов, который собирал информацию об окружении посетителей и периодически перенаправлял их на другие сайты в зависимости от случайности и страны, в которой находится пользователь.
Среди взломанных сайтов много сайтов, принадлежащих небольшим компаниям, и несколько сайтов, управляемых транснациональными корпорациями. Они отличаются по своему техническому уровню и услугам хостинга, что затрудняет определение конкретной уязвимости, неправильной конфигурации или источника утечки учетных данных, которыми могли воспользоваться угрожающие лица. В нескольких случаях, включая honeypot, который Wiz создали для исследования этой активности, угрожающий субъект подключался к целевому веб-серверу, используя законные учетные данные FTP, которые он каким-то образом получил ранее.
Хотя Wiz Threat Research не смогли определить, как эти угрожающие субъекты получали первоначальный доступ к затронутым веб-серверам или откуда они брали свои украденные учетные данные. Учитывая характер целевых веб-сайтов, мы считаем, что мотивы угроз, скорее всего, финансовые, и, возможно, они намерены просто увеличить трафик на эти веб-сайты из определенных стран и не более того. Однако воздействие на взломанные веб-сайты и их пользовательский опыт равносильно порче, и любые слабые места, которыми воспользовался злоумышленник для получения первоначального доступа к этим веб-сайтам, могут быть использованы другими злоумышленниками для нанесения большего вреда.
Indicators of Compromise
URls
- a.msstatic.net/main3/common/assets/template/head/ad.tmpl_a9b7.js
- beacon-v2.helpscout.help/static/js/vendor.06c7227b.js
- cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js
- cdn-go.net/vasdev/web_webpersistance_v2/v1.8.2/flog.core.min.js
- minjs.us/static/js/min.js
- pc.googlesyndication.wiki/sodar/sodar2.js
- s3a.pstatp.org/toutiao/push.js
- stat.51sdk.org/*
- tpc.cdn-linkedin.info/js/vendor.5b3ca61.js
- widget-v4.tidiochat.net/*
- www.metamarket.quest/market.js
Domains
- 22332299.com
- alibb1.xyz
- alibb2.xyz
- alibbvod.com
- alivod1.com
SHA256
- 08d6092832ab0631cb45415707fe6e262a205d1809a064ed9aa577647a39ba8e
- 0a1cecea008b34bcbc8db9f4f56077a02492b3970cfe59fd8e96a08655c81cc2
- 271a25666415ef308797072fbd710d8ddba82d181010182dedd1384bac0a5c3c
- 30ec43c09bc09a4224001acb4af67126d5f2c58a2120c3e9f606c719ab6c826b
- 4770fdd231dccd6775a561fbf9c9dc16c0009aaea934107f5d7e9a79e10295d7
- 50bf3385e888eee5e31a92d71c9a194b3bdfb62760b9cc069b962ef9d3b5646f
- 5e100ab9bfb7fea33e294f56ece82cfd50c8f5cce86aaacc6bd50f4c58ccaec7
- 6b5313f3ef4b260bebe59df8af4f1f1b7c112e0def8666d57e6033db381dea2c
- 7259f39c86e94cf04b5843946e669e093955d37ca2e7ea1dd88fdd5d63698f61
- 76acbfd3312024f2c3046ead1c6da8d1bb832cb9e71fe74a4977f9e30067cfb3
- 7873091e8596080c441dd07dae1f6bb6486aa160e9f3fc728425ae3293420d62
- 8ac547a78fb6a06aaac7562be6423362b4ac23e5dd89ab82819f2116688f76e8
- 952a70429797ca33ffc8d3344feec6c24ff4b72e03c01dbc0bd12967d5688fbb
- a39970152a2d753c4fb449b15617820c72d02c3489f99155131f68376edc714e
- abdf025595c1e544d7a33432d4a8b2ed0a0170bc4d1657312396e14d277dc2d1
- c1049a0e6437f01007b2c4eeb2ce1bcfa4f2e1ece02bef617d3adb1b76b7fb1c
- deb980b8dbce4914e4ce5f5b9c1245d5aef9dc58ba530b8b1f4a63d0669aee2d
- ed7970300fa87fefdd991d68166cbd5ca6c3f5e0b90202a24c73bb048325ec62