Взломанные сайты принадлежат как небольшим фирмам, так и международным корпорациям, все они используют различные технологические стеки и хостинг, что затрудняет выявление общего вектора атаки. Одним из немногих "общих знаменателей" является то, что большинство скомпрометированных ресурсов хостятся в Китае или в другой стране, но ориентированы на китайских пользователей.
Интересно Северокорейские хакеры применяют новый способ атак через LinkedIn
Что известно
Злоумышленники внедряют на взломанные сайты вредоносный JavaScript, часто подключаясь к целевому серверу с использованием подлинных учетных данных для FTP. Причем, как именно их получают злоумышленники, экспертам выяснить не удалось.
Во многих случаях это были надежные автоматически сгенерированные учетные данные для FTP, но злоумышленники как-то смогли раздобыть их и использовать для захвата сайта,
– рассказывают исследователи.
Также в отчете отмечается, что URL-адреса, где размещается вредоносный JavaScript, ограничены конкретными геозонами, чтобы код выполнялся только в ряде стран Восточной Азии.
Кроме того, специалисты обнаружили признаки того, что эта кампания также нацелена и на Android. В таких случаях скрипт перенаправления направляет посетителей на игорные сайты, которые призывают установить специальное приложение
Какая именно группировка стоит за этими атаками, и какие цели она преследует, пока неясно до конца. Примечательным аспектом этих атак является отсутствие фишинга, веб-скимминга или малвари. Одна из теорий гласит, что целью хакеров является рекламное мошенничество и SEO-манипуляции. Также возможно, что дело в привлечении неорганического трафика на конкретные сайты.
"Мы по-прежнему не уверены в том, как злоумышленники получили доступ к такому количеству сайтов, и нам еще предстоит выявить общие черты между пострадавшими ресурсами, помимо использования FTP. Хотя маловероятно, что атакующие используют некую 0-day уязвимость (учитывая явно низкую изощренность атак), такой вариант тоже нельзя исключить полностью", — говорят эксперты.