上萬網站被駭客以FTP憑證劫持，對用戶發動竊密攻擊

2023-06-02

安全廠商近來發現，有數千到上萬網站被駭客以合法FTP憑證及其他方法控制，並對數十萬用戶發動資料竊取，或導向成人網站。

安全廠商Wiz發現，從去年9月開始，上萬個面向中國用戶的網站被不明攻擊組織駭入劫持，其面向用戶的網頁被植入竊密程式碼。目前這樁攻擊仍在持續當中。

研究人員先發現，駭客劫持代管在東亞Azure服務上的多個Web 服務，懷疑是一樁更大規模攻擊的一部分。攻擊者從一個專門管理Web App的FTP端點，從1個靜態IP以合法FTP憑證存取這些服務，並在原有HTML程式碼增加一行參照遠端網頁代管的Javascript標籤。這些惡意改造的網頁，有些還能將造訪的用戶導向成人網站。研究人員判斷，這些合法FTP登入憑證可能是之前外洩而被駭客取得。

研究人員進一步追查後推斷，這是一波更大規模攻擊的一部分，他們相信，從去年秋天到今年2月已有至少1萬網站被駭入，每月有數十萬用戶遭重導引攻擊。

受害的網站中許多是小型企業，但也不乏跨國公司。由於受害網站使用的技術和服務類型很分散，目前研究人員還無法判斷攻擊者是使用了哪些漏洞、錯誤配置、或利用來自哪些來源的密碼憑證，也尚未追查出這波攻擊的發動組織。

研究人員建議，若企業是以FTP維護網站，最好使用FTPS或SFTP（FTP over SSL/TLS）安全協定並使用長用戶名稱及密碼，以免遭駭客劫持。如果企業發現在網頁伺服器上存在可能的入侵指標（indicators of compromise），研究人員建議輪換網站管理金鑰、在所有網域及網站上找出所有惡意的Javascript程式碼，或是以受信任的映像檔重新部署伺服器、重新安裝軟體、並升級到最新版本。

（相關資訊來自iThome）