Зламані сайти належать як невеликим фірмам, так і міжнародним корпораціям, усі вони використовують різні технологічні стеки та хостинг, що ускладнює виявлення загального вектора атаки. Одним із небагатьох "спільних знаменників" є те, що більшість скомпрометованих ресурсів хостяться в Китаї, або в іншій країні, але орієнтовані на китайських користувачів.
Цікаво Північнокорейські хакери застосовують новий спосіб атак через LinkedIn
Що відомо
Зловмисники впроваджують на зламані сайти шкідливий JavaScript, часто підключаючись до цільового сервера з використанням справжніх облікових даних для FTP. Причому як саме їх отримують зловмисники, експертам з'ясувати не вдалося.
У багатьох випадках це були надійні автоматично згенеровані облікові дані для FTP, але зловмисники якимось чином змогли роздобути їх і використати для захоплення сайту,
– розповідають дослідники.
Також у звіті наголошується, що URL-адреси, де розміщується шкідливий JavaScript, обмежені конкретними геозонами, щоб код виконувався тільки в низці країн Східної Азії.
Крім того, фахівці виявили ознаки того, що ця кампанія також націлена і на пристрої Android. У таких випадках скрипт перенаправлення веде відвідувачів на ігрові сайти, які закликають встановити спеціальний застосунок.
Яке саме угруповання стоїть за цими атаками, і які цілі воно переслідує, поки що неясно до кінця. Примітним аспектом цих атак є відсутність фішингу, вебскімінгу або малварі. Одна з теорій свідчить, що метою хакерів є рекламне шахрайство і SEO-маніпуляції. Також можливо, що справа в залученні неорганічного трафіку на конкретні сайти.
"Ми, як і раніше, не впевнені в тому, як зловмисники отримали доступ до такої кількості сайтів, і нам ще належить виявити спільні риси між постраждалими ресурсами, крім використання FTP. Хоча малоймовірно, що атакуючі використовують якусь 0-day вразливість (з огляду на явно низьку витонченість атак), такий варіант теж не можна виключити повністю", – підсумовують експерти.