Beberapa bulan terakhir ini, peneliti telah menyelidiki operasi siber berskala besar yang memanfaatkan kredensial FTP sah yang diperoleh melalui vektor ancaman yang tidak diketahui. Kredensial FTP yang dibuat secara otomatis dan sangat aman yang entah bagaimana dapat diperoleh dan dimanfaatkan oleh penyerang untuk pembajakan situs web. Hingga saat ini kegiatan masih tetap berlangsung.
Ringkasan Eksekutif
Aktor ancaman tak dikenal berhasil menyusupi puluhan ribu situs web yang terutama ditujukan untuk pemirsa Asia Timur, mengalihkan ratusan ribu penggunanya ke konten bertema dewasa.
Pelaku ancaman selalu menyuntikkan kode berbahaya ke halaman web yang berhadapan dengan pelanggan yang dirancang untuk mengumpulkan informasi tentang lingkungan pengunjung dan terkadang mengarahkan mereka ke situs lain ini, bergantung pada peluang acak dan negara tempat pengguna berada.
Situs web yang disusupi adalah dimiliki oleh perusahaan kecil dan beberapa dioperasikan oleh perusahaan multinasional. Dalam beberapa kasus, termasuk honeypot yang disiapkan oleh peneliti untuk menyelidiki aktivitas ini, pelaku ancaman terhubung ke server web target menggunakan kredensial FTP sah yang mereka peroleh sebelumnya.
Ringkasan
Peneliti belum yakin bagaimana pelaku ancaman mendapatkan akses awal ke begitu banyak situs web, dan belum mengidentifikasi kesamaan yang signifikan antara server yang terpengaruh selain penggunaan FTP mereka.
Peneliti yakin bahwa motivasi pelaku ancaman kemungkinan besar bersifat finansial, dan mungkin mereka hanya bermaksud untuk meningkatkan lalu lintas ke situs web ini dari negara tertentu.
Hal ini tentunya berdampak terhadap situs web yang disusupi dan pengalaman penggunanya setara dengan perusakan. Kelemahan apapun yang dieksploitasi oleh pelaku ini untuk mendapatkan akses awal ke situs web ini dapat dimanfaatkan oleh pelaku lain untuk menimbulkan kerugian yang lebih besar.
Selengkapnya: Wiz Blog
