Yaygın bir kötü niyetli siber operasyon, Eylül 2022’nin başından bu yana Doğu Asyalı kitleleri hedefleyen binlerce web sitesini, ziyaretçileri yetişkin temalı içeriğe yönlendirmek için ele geçirdi.
Devam eden kampanya, saldırıya uğramış web sitelerine kötü amaçlı JavaScript kodunun enjekte edilmesini ve genellikle tehdit aktörünün daha önce bilinmeyen bir yöntemle elde ettiği meşru FTP kimlik bilgilerini kullanarak hedef web sunucusuna bağlanmayı içeriyor.
Wiz, bu ay yayınlanan bir raporda, “Birçok durumda, bunlar, saldırganın bir şekilde web sitesini ele geçirmeyi başardığı ve yararlanabildiği, son derece güvenli, otomatik olarak oluşturulmuş FTP kimlik bilgileriydi” dedi.
Bulut güvenlik şirketi, hem küçük firmalara hem de çok uluslu şirketlere ait olan ihlal edilen web sitelerinin farklı teknoloji yığınları ve barındırma hizmeti sağlayıcıları kullanmasının ortak bir saldırı vektörünün izini sürmeyi zorlaştırdığını belirtti.
Bununla birlikte, web siteleri arasındaki ortak paydalardan biri, bunların çoğunluğunun Çin’de barındırılması veya farklı bir ülkede barındırılması, ancak Çinli kullanıcılar için hazırlanmış olmasıdır.
Dahası, sahte JavaScript kodunu barındıran URL’ler, belirli Doğu Asya ülkelerinde yürütülmesini sınırlamak için coğrafi olarak sınırlandırılmıştır.
Yönlendirme komut dosyası, ziyaretçileri bir uygulama yüklemeye teşvik eden kumar web sitelerine yönlendirerek (APK paket adı “com.tyc9n1999co.coandroid”), kampanyanın gözünü Android’e diktiğine dair göstergeler de var.
Tehdit aktörünün kimliği henüz bilinmiyor ve kesin amaçları henüz belirlenmemiş olsa da, amacın reklam dolandırıcılığı ve SEO manipülasyonu gerçekleştirmek veya alternatif olarak bu web sitelerine inorganik trafik çekmek olduğundan şüpheleniliyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Saldırıların bir diğer dikkate değer yönü, kimlik avı, web taraması veya kötü amaçlı yazılım bulaşmasının olmamasıdır.
Araştırmacılar Amitai Cohen ve Barak Sharoni, “Tehdit aktörünün bu kadar çok web sitesine ilk erişimi nasıl sağladığından emin değiliz ve etkilenen sunucular arasında FTP kullanımları dışında herhangi bir önemli ortak nokta tespit edemedik.”
“Saldırının görünüşte düşük karmaşıklığı göz önüne alındığında, tehdit aktörünün 0 günlük bir güvenlik açığı kullanması pek olası olmasa da, bunu bir seçenek olarak göz ardı edemeyiz.”