В интернете произошла массовая атака на сайты, взломано почти 100 000 проектов

ИТ-компания SafeScan, сообщила об обнаружении очень масштабной хакерской атаки, в результате которой были взломаны многие тысячи веб-сайтов по всему миру. По словам экспертов по безопасности, точное число взломанных веб-проектов пока определить просто невозможно, но скорее всего, это число колеблется в диапазоне от 7 до 115 тысяч сайтов.



Среди пострадавших проектов значатся не только сайты малоизвестных компаний, но и проекты принадлежащие американскому деловому изданию Wall Street Journal, национальной израильской газете Jerusalem Post, популярным международным проектам ServiceWoman.org и IntlJobs.org, а также многим другим.

Компания ScanSafe, входящая в структуры Cisco Systems, сообщает, что используя сети своей головной организации, начала фиксировать атаку еще двое суток назад. По словам Мэри Ландесман, старшего специалиста по безопасности, хакеры, используя дыры в серверном программном обеспечении, начали размещать на веб-страницах злонамеренный HTML-код, который переправлял пользователей на хакерские сайты.

В свою очередь на хакерских сайтах на компьютеры пользователей проводилась инсталляция шпионского и троянского программного обеспечения. При помощи этих разработок, хакеры получали возможность удаленного контроля компьютеров пользователей. На данный момент специалисты по ИТ-безопасности еще не завершили сбор данных об атаках, однако уже сейчас очевидно, что для нападений использовался метод SQL-инъекций, предусматривающий несанкционированные операции с СУБД, работающей на сервере.

Также очевидно, что все взломанные серверы работали под управлением Microsoft Internet Information Services с включенной поддержкой Active Server Pages.

Напомним, что последняя похожая и сопоставимая по масштабам атака была в апреле этого года, когда злоумышленники воспользовались уязвимостью в популярной блог-платформе Wordpress.

Впрочем, сейчас не все из сайтов были реально скомпрометированы, на некоторых страницах хакеры лишь частично разместили код, поэтому атака по факту не работает. Кроме того, на ряде проектов, например на сайтах Wall Street Journal, размещенный код был всего на паре страниц, а не на всем сайте.

В компаниях HP и Microsoft также сообщили, что они в курсе масштабной атаки и уже представили совместное программное обеспечение Scrawir, позволяющее проверить веб-сайты на популярные SQL-уязвимости.

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky поймала зловреда, который шпионил за властями и правозащитниками

Эксперты «Лаборатории Касперского» обнаружили бэкдор SessionManager. Он позволяет получить доступ к корпоративной ИТ-инфраструктуре. Жертвами шпионажа становились госорганы и некоммерческие организации в России, Европе и Африке.

Киберпреступники внедряют зловред дистанционно как модуль для Microsoft IIS — набор веб-сервисов, включающий почтовый Exchange. С работой этого сервера сталкивается сотрудник любой компании, где настроена корпоративная почта Microsoft. Для SessionManager и других вредоносных IIS-модулей взломщики эксплуатируют уязвимость ProxyLogon.

Проникнув в систему, злоумышленники могут читать корпоративную почту, распространять вредоносные программы и управлять заражёнными серверами.

По данным «Лаборатории Касперского», первые атаки с использованием SessionManager датируются мартом прошлого года. Жертвами чаще всего становились государственные органы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. Бэкдор удалось обнаружить на 34 серверах в 24 компаниях. SessionManager часто остаётся незамеченным, так как его плохо детектирует большинство популярных онлайн-сканеров.

«Ставшая публично известной в начале 2021 года уязвимость ProxyLogon в сервере Microsoft Exchange дала злоумышленникам новый вектор атаки, которым они активно пользуются, в том числе для загрузки бэкдоров в виде модулей веб-сервера IIS, — рассказывает Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского». — С помощью одного из таких зловредов, SessionManager, злоумышленники получают стойкий к обновлениям, долговременный и успешно скрываемый доступ к корпоративной ИТ-инфраструктуре».

Хакерские группировки очень любят такие зловреды, а в “Лаборатории Касперского” их умеют ловить. Неделю назад мы писали про APT-группу ToddyCat, которая бэкдорит Exchange-серверы в Европе и Азии.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru