• 목록
• 답변
• 글쓰기
• 게시판 리스트 옵션
  • 수정
  • 삭제

Since 리디렉션 early September 2022, tens of thousands of websites aimed at East Asian audiences have been hacked, redirecting hundreds of thousands of their users to adult-themed content.wiz.io[본문 중 번역]​TL;DR지난 몇 달 동안 우리는 알려지지 않은 위협 벡터를 통해 얻은 합법적인 FTP 자격 증명을 활용하는 대규모 사이버 작전을 조사했습니다. 대부분의 경우 이들은 공격자가 어떻게든 획득하여 웹사이트 하이재킹에 활용할 수 있는 매우 안전한 자동 생성 FTP 자격 증명이었습니다. 우리는 상관없이 연구 결과를 발표하고 있으며, 이 연구는 여전히 진행 리디렉션 중인 활동이므로 기꺼이 협력할 것입니다.​요약2022년 9월 초부터 알려지지 않은 위협 행위자가 주로 동아시아 고객을 대상으로 하는 수만 개의 웹사이트를 성공적으로 손상시켜 수십만 명의 사용자를 성인용 콘텐츠로 리디렉션했습니다. 각각의 경우에 위협 행위자는 방문자의 환경에 대한 정보를 수집하도록 설계된 고객 대면 웹 페이지에 악성 코드를 삽입하고 임의의 기회와 사용자가 위치한 국가에 따라 때때로 이러한 다른 사이트로 리디렉션합니다. .​손상된 웹사이트에는 소기업 소유의 웹사이트와 다국적 기업에서 운영하는 웹사이트가 포함됩니다. 그들은 기술 스택과 호스팅 서비스 측면에서 다양하기 때문에 이 위협 리디렉션 행위자가 악용할 수 있는 특정 취약성, 잘못된 구성 또는 유출된 자격 증명의 소스를 정확히 찾아내기 어렵습니다. 이 활동을 조사하기 위해 설정한 허니팟을 포함한 여러 경우에서 공격자는 이전에 획득한 합법적인 FTP 자격 증명을 사용하여 대상 웹 서버에 연결했습니다.​이 위협 행위자가 어떻게 영향을 받는 웹 서버에 대한 초기 액세스 권한을 얻었는지 또는 훔친 자격 증명을 어디에서 가져왔는지 확인할 수는 없었지만, 이 지속적인 상황에 대한 인식을 높이기 위해 결과를 게시하기로 결정했습니다. 활동. 대상 웹사이트의 특성을 고려할 때 위협 리디렉션 활동가의 동기는 금전적일 가능성이 높으며 특정 국가에서 이러한 웹사이트에 대한 트래픽을 늘리려는 의도일 가능성이 높습니다. 그러나 손상된 웹사이트와 해당 사용자 경험에 미치는 영향은 훼손과 동일하며 이 공격자가 이러한 웹사이트에 대한 초기 액세스 권한을 얻기 위해 악용하는 모든 약점은 다른 공격자가 더 큰 피해를 입히는 데 사용할 수 있습니다.​FTP를 통해 웹사이트를 유지 관리하는 경우 강력한 사용자 이름과 비밀번호 조합으로 FTPS 또는 SFTP를 사용하는 것이 좋습니다. 환경에서 이 활동과 관련된 IOC를 식별하는 경우 자격 증명을 교체하고 신뢰할 리디렉션 수 있는 소스에서 소프트웨어를 다시 설치하고 손상된 자산을 이전의 깨끗한 버전으로 복원해야 합니다.이 활동의 ​​영향을 받았거나 진행 중인 분석에 도움이 될 수 있는 정보를 교환하고 싶은 경우 언제든지 Wiz 위협 연구 팀( )에 문의하십시오 .​조사 결과 요약​소개2022년 10월 초, 클라우드 환경에 대한 위협을 조사하기 위해 고객과 함께 작업하는 과정에서 우리는 사용자를 성인 웹 사이트로 리디렉션하는 동아시아에서 호스팅되는 몇 가지 손상된 Azure Web Apps에 대해 알게 되었습니다. 이러한 각각의 경우에서 알 수 없는 행위자가 합법적인 자격 리디렉션 증명(무차별 대입 사전 공격의 일부로 포함될 가능성이 없는 길고 복잡한 암호)을 사용하여 웹 응용 프로그램 관리에 사용되는 FTP 끝점에 액세스했습니다. 행위자는 기존 웹 페이지를 수정하고 원격으로 호스팅되는 JavaScript 스크립트를 참조하는 스크립트 태그 형식의 HTML 코드 한 줄을 추가했습니다. 여러 경우에 관련 FTP 로그 분석을 기반으로 공격자는 정적 IP 주소( 172.81.104[.]64)에서 이러한 FTP 엔드포인트에 연결했습니다.​방문자를 손상된 웹사이트로 리디렉션하는 흐름​추가 조사를 통해 우리는 외견상 고립된 것처럼 보이는 사례가 실제로는 대규모 다국적 기업에서 운영하고 동아시아 고객을 대상으로 하는 리디렉션 웹 사이트를 포함하여 수천 개의 웹 사이트를 성공적으로 손상시킨 훨씬 더 큰 일련의 캠페인의 일부임을 발견했습니다. publicwww 및 SimiliarWeb 의 데이터를 기반으로 작성 시점에 최소한 10,000개의 손상된 웹사이트(하위 도메인 제외)를 보수적으로 추정하여 매월 총 수십만 명의 사용자를 리디렉션합니다. 이러한 웹 사이트는 기본 기술 및 호스팅 서비스 측면에서 매우 다양하며 실제로 그 중 극히 일부만이 Azure Web Apps입니다.​리디렉션 방법과 대상 웹사이트의 특성을 고려할 때 처음에는 이를 손상 사례로 가정했지만 그 이후 목표가 광고 사기, SEO 조작 리디렉션 또는 단순히 무기 트래픽 유도일 가능성을 고려 했습니다 . 이러한 웹사이트. 우리는 피싱, 웹 스키밍 또는 맬웨어 감염의 징후를 관찰하지 않았으며 위협 행위자의 정확한 동기를 밝힐 수 있는 증거를 아직 식별하지 못했습니다.​우리는 이 활동이 2022년 9월 초에 시작되었을 가능성이 가장 높으며(도메인 등록 날짜 및 피해자 보고 기준) 지속적으로 웹 서버를 해킹하고 방문자에 대한 정보를 수집하며 때때로 성인 또는 도박 콘텐츠가 있는 다른 웹사이트로 리디렉션하는 것과 관련이 있다고 결론지었습니다.​​인프런 보안프로젝트님의 소개 페이지 입니다. - 보안프로젝트님 소개 리디렉션 | 인프런​