Các nhóm hack đang tiếp tục tận dụng các thùng lưu trữ dữ liệu AWS S3 được định cấu hình sai để chèn mã độc vào các trang web trong nỗ lực vuốt thông tin thẻ tín dụng và thực hiện các chiến dịch quảng cáo độc hại.
Trong một báo cáo mới được chia sẻ với The Hacker News, công ty an ninh mạng RiskIQ cho biết xác định ba trang web bị xâm nhập thuộc về Endeavour Business Media vào tháng trước vẫn đang lưu trữ mã lướt qua JavaScript – một chiến thuật cổ điển được chấp nhận bởi Magecart, một nhóm các nhóm tin tặc khác nhau nhắm vào các hệ thống giỏ hàng trực tuyến.
Các trang web bị ảnh hưởng chưa từng có lưu trữ các diễn đàn trò chuyện và nội dung liên quan đến dịch vụ khẩn cấp phục vụ cho lính cứu hỏa, cảnh sát và chuyên gia bảo mật, theo RiskIQ.
- www[.]nhân viên văn phòng[.]com
- www[.]nhà lửa[.]com
- www[.]bảo mật[.]com
Công ty mạng cho biết họ đã không nhận được phản hồi từ Endeavour Business Media mặc dù đã liên hệ với công ty để giải quyết các vấn đề.
Kết quả là, nó hợp tác với công ty an ninh mạng phi lợi nhuận Thụy Sĩ Abuse.ch để đánh cắp các tên miền độc hại liên quan đến chiến dịch.
Amazon S3 (viết tắt của Simple Storage Service) là một cơ sở hạ tầng lưu trữ có thể mở rộng, cung cấp một phương tiện đáng tin cậy để lưu và lấy bất kỳ lượng dữ liệu nào thông qua giao diện dịch vụ web.
Những skimmer thẻ tín dụng ảo, còn được gọi là tấn công hình thành, thường là mã JavaScript mà các nhà khai thác Magecart lén lút chèn vào một trang web bị xâm nhập, thường trên các trang thanh toán, được thiết kế để nắm bắt chi tiết thẻ của khách hàng trong thời gian thực và truyền nó đến một máy chủ do kẻ tấn công kiểm soát từ xa.
Tháng 7 năm ngoái, RiskIQ đã phát hiện ra một điều tương tự Chiến dịch Magecart tận dụng các thùng S3 được định cấu hình sai để tiêm skimmer thẻ tín dụng kỹ thuật số trên 17.000 tên miền.
Ngoài việc sử dụng JavaScript để tải skimmer, RiskIQ cho biết họ đã phát hiện ra mã bổ sung mà họ gọi là “jqueryapi1oad” được sử dụng liên quan đến hoạt động quảng cáo độc hại kéo dài bắt đầu vào tháng 4 năm 2019 và đã lây nhiễm 277 máy chủ duy nhất cho đến nay.
“Chúng tôi lần đầu tiên xác định trình chuyển hướng độc hại jqueryapi1oad – được đặt tên theo cookie mà chúng tôi đã kết nối với nó – vào tháng 7 năm 2019,” các nhà nghiên cứu cho biết. “Nhóm nghiên cứu của chúng tôi đã xác định rằng các tác nhân đằng sau mã độc này cũng đang khai thác các thùng S3 bị định cấu hình sai.”
Mã này đặt cookie jqueryapi1oad có ngày hết hạn dựa trên kết quả kiểm tra bot và tạo một phần tử DOM mới trong trang mà nó được đưa vào. Sau đó, nó tiến hành tải xuống mã JavaScript bổ sung, lần lượt, tải một cookie được liên kết với hệ thống phân phối lưu lượng Keitaro (TDS) để chuyển hướng lưu lượng truy cập để quảng cáo lừa đảo gắn liền với Móc nối chiến dịch quảng cáo độc hại.
“Tên miền vô nghĩa[.]com là một trang web tin tức bóng đá Colombia nằm trong top 30.000 bảng xếp hạng Alexa toàn cầu. Nó cũng định cấu hình sai một nhóm S3, để nó mở cho jqueryapi1oad, “các nhà nghiên cứu cho biết.
Để giảm thiểu các mối đe dọa này, RiskIQ khuyên bạn nên bảo vệ các thùng S3 bằng đúng cấp phép, ngoài việc sử dụng Danh sách điều khiển truy cập (ACL) và chính sách nhóm để cấp quyền truy cập vào các tài khoản AWS khác hoặc cho các yêu cầu công khai.
“Các thùng S3 bị định cấu hình sai cho phép các tác nhân độc hại chèn mã của họ vào nhiều trang web là một vấn đề đang diễn ra”, RiskIQ kết luận. “Trong môi trường mối đe dọa ngày nay, các doanh nghiệp không thể tiến về phía trước một cách an toàn mà không có dấu chân kỹ thuật số, kho lưu trữ tất cả các tài sản kỹ thuật số, để đảm bảo chúng nằm dưới sự quản lý của nhóm bảo mật của bạn và được định cấu hình đúng.”
