GoDaddy, cPanel paylaşımlı barındırma ortamındaki sunuculara yetkisiz bir üçüncü tarafça kötü amaçlı kötü amaçlı yazılım yüklendiğini tespit etti. Bu, müşterilerinin web sitelerinin aralıklı olarak yeniden yönlendirilmesine neden olur.
GoDaddy, “Araştırdık ve cPanel paylaşımlı barındırma sunucularımızda barındırılan görünüşte rastgele web sitelerinde meydana gelen ve aynı web sitesinde bile GoDaddy tarafından kolayca yeniden üretilemeyen aralıklı yeniden yönlendirmeleri bulduk” diye açıklıyor.
En büyük alan adı kayıt şirketlerinden biri olan GoDaddy ayrıca dünya çapında 20 milyondan fazla kullanıcıya hizmet barındırma hizmeti sunmaktadır.
Saldırganların birkaç yıl boyunca şirketin ağına erişimi olmasına rağmen, GoDaddy güvenlik ihlalini ancak 2022 yılının Aralık ayı başlarında sitelerinin rastgele etki alanlarına yeniden yönlendirilmek üzere istismar edildiğine dair müşteri şikayetleri aldıktan sonra öğrendi.
“Sorunu daha fazla araştırmak için adli tıp uzmanlarına ek olarak dünya çapında çok sayıda kolluk kuvvetiyle çalışıyoruz”.
GoDaddy, “Bu olayın GoDaddy gibi barındırma hizmetlerini hedef alan sofistike ve organize bir grup tarafından gerçekleştirildiğine dair kanıtımız var ve kolluk kuvvetleri bunu onayladı” diyor.
GoDaddy, kanıtların, görünürdeki hedeflerinin, kimlik avı operasyonları, kötü amaçlı yazılım dağıtımı ve diğer alçakça eylemleri gerçekleştirmek için sunuculara ve web sitelerine kötü amaçlı yazılım bulaştırmak olduğunu gösterdiğini ekledi.
GoDaddy, “Araştırmamıza dayanarak, bu olayların, diğer şeylerin yanı sıra sistemlerimize kötü amaçlı yazılım yükleyen ve GoDaddy içindeki bazı hizmetlerle ilgili kod parçalarını ele geçiren, gelişmiş bir tehdit aktörü grubu tarafından yürütülen çok yıllı bir kampanyanın parçası olduğuna inanıyoruz” dedi. bir SEC dosyalamasında.
Bu Çok Yıllı Operasyon Daha Önceki İhlallerle Bağlantılıdır
Şirkete göre bu çok yıllı kampanya, Kasım 2021 ve Mart 2020’de ortaya çıkan daha önceki ihlallerle de bağlantılı.
Kasım 2021’de GoDaddy’nin WordPress barındırma ortamına çalıntı bir parola kullanılarak yapılan bir saldırının ardından, 1,2 milyon Yönetilen WordPress istemcisinin verilerinin güvenliği ihlal edildi.
Etkilenen müşterilerin e-posta adresleri, WordPress Yönetici parolaları, sFTP ve veritabanı oturum açma bilgileri ve aktif istemcilerin bir alt kümesi için SSL özel anahtarlarının tümü ele geçirildi.
“İzinsiz girişi onayladıktan sonra durumu düzelttik ve gelecekteki bulaşmaları önlemek için güvenlik önlemleri uyguladık”, GoDaddy
Şirket, saldırganın davranışlarını izlemeye ve bu suç örgütünün girişimlerini engellemeye devam ederken kolluk kuvvetlerine yardımcı olmak için saldırganın taktikleri ve prosedürleri hakkında aktif olarak kanıt ve bilgi topladığını söyledi.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin