Кибератака в Восточной Азии: десятки тысяч сайтов взломаны и перенаправляют пользователей на вредоносные страницы

Среди пострадавших оказались как небольшие локальные компании, так и крупные транснациональные корпорации. Разнообразие технических платформ и хостинг-провайдеров усложняет поиск единой уязвимости, которая могла бы объяснить столь массовый взлом. В ходе расследования эксперты компании Wiz Threat Research обнаружили, что в некоторых случаях злоумышленники использовали легитимные учетные данные FTP для доступа к серверам, однако источник утечки этих данных пока не установлен.

Мотивы атаки остаются не до конца ясными, но аналитики склоняются к версии, что основной целью злоумышленников было увеличение трафика на определенные сайты, возможно, для монетизации или иных финансовых схем. Тем не менее последствия таких действий крайне негативны как для владельцев взломанных ресурсов, так и для их пользователей. Подобные атаки подрывают доверие к интернет-сервисам, а также создают угрозу дальнейшего использования уязвимостей для более серьезных киберпреступлений, включая кражу персональных данных или распространение вредоносного ПО.

Эксперты по кибербезопасности призывают владельцев веб-сайтов усилить защиту своих ресурсов, регулярно обновлять программное обеспечение, использовать сложные пароли и двухфакторную аутентификацию для доступа к административным панелям. Кроме того, рекомендуется проводить аудит безопасности и мониторить подозрительную активность на серверах. Пользователям же советуют быть осторожными при переходе по неожиданным перенаправлениям и проверять адреса сайтов перед вводом личных данных.

Данный инцидент в очередной раз демонстрирует, насколько уязвимыми могут быть даже крупные интернет-ресурсы перед лицом современных киберугроз. В условиях растущей цифровизации подобные атаки требуют не только оперативного реагирования, но и системных мер по повышению уровня защиты всей интернет-инфраструктуры.

URLs

• a.msstatic.net/main3/common/assets/template/head/ad.tmpl_a9b7.js
• beacon-v2.helpscout.help/static/js/vendor.06c7227b.js
• cdn.jsdelivr.autos/npm/jquery/dist/jquery.min.js
• cdn-go.net/vasdev/web_webpersistance_v2/v1.8.2/flog.core.min.js
• minjs.us/static/js/min.js
• pc.googlesyndication.wiki/sodar/sodar2.js
• s3a.pstatp.org/toutiao/push.js
• stat.51sdk.org/*
• tpc.cdn-linkedin.info/js/vendor.5b3ca61.js
• widget-v4.tidiochat.net/*
• www.metamarket.quest/market.js

Domains

• 22332299.com
• alibb1.xyz
• alibb2.xyz
• alibbvod.com
• alivod1.com

SHA256

• 08d6092832ab0631cb45415707fe6e262a205d1809a064ed9aa577647a39ba8e
• 0a1cecea008b34bcbc8db9f4f56077a02492b3970cfe59fd8e96a08655c81cc2
• 271a25666415ef308797072fbd710d8ddba82d181010182dedd1384bac0a5c3c
• 30ec43c09bc09a4224001acb4af67126d5f2c58a2120c3e9f606c719ab6c826b
• 4770fdd231dccd6775a561fbf9c9dc16c0009aaea934107f5d7e9a79e10295d7
• 50bf3385e888eee5e31a92d71c9a194b3bdfb62760b9cc069b962ef9d3b5646f
• 5e100ab9bfb7fea33e294f56ece82cfd50c8f5cce86aaacc6bd50f4c58ccaec7
• 6b5313f3ef4b260bebe59df8af4f1f1b7c112e0def8666d57e6033db381dea2c
• 7259f39c86e94cf04b5843946e669e093955d37ca2e7ea1dd88fdd5d63698f61
• 76acbfd3312024f2c3046ead1c6da8d1bb832cb9e71fe74a4977f9e30067cfb3
• 7873091e8596080c441dd07dae1f6bb6486aa160e9f3fc728425ae3293420d62
• 8ac547a78fb6a06aaac7562be6423362b4ac23e5dd89ab82819f2116688f76e8
• 952a70429797ca33ffc8d3344feec6c24ff4b72e03c01dbc0bd12967d5688fbb
• a39970152a2d753c4fb449b15617820c72d02c3489f99155131f68376edc714e
• abdf025595c1e544d7a33432d4a8b2ed0a0170bc4d1657312396e14d277dc2d1
• c1049a0e6437f01007b2c4eeb2ce1bcfa4f2e1ece02bef617d3adb1b76b7fb1c
• deb980b8dbce4914e4ce5f5b9c1245d5aef9dc58ba530b8b1f4a63d0669aee2d
• ed7970300fa87fefdd991d68166cbd5ca6c3f5e0b90202a24c73bb048325ec62