- أبلغت DataDog عن قيام مهاجمين باختطاف تكوينات NGINX لإعادة توجيه حركة المرور عبر البنية التحتية الضارة
- تستهدف الحملة قطاعات الحكومة والتعليم في آسيا، مما يتيح سرقة الرموز المميزة للجلسة وملفات تعريف الارتباط وبيانات الاعتماد
- يتم استخدام حركة المرور المختطفة للتصيد الاحتيالي وحقن البرامج الضارة والاحتيال الإعلاني وتنفيذ المزيد من الهجمات بالوكالة
حذر الخبراء من أن مجرمي الإنترنت يستهدفون خوادم NGINX، ويعيدون توجيه حركة المرور المشروعة من خلال بنيتهم التحتية الضارة.
وجد الباحثون الأمنيون في DataDog Security Labs أن المهاجمين يركزون بشكل أساسي على الأهداف الآسيوية في القطاعين الحكومي والتعليمي.
خوادم NGINX هي أنظمة برمجية موجودة أمام مواقع الويب أو التطبيقات وتتعامل مع حركة مرور الويب الواردة. إنهم يخدمون المحتوى، ويوازنون الأحمال، ويوجهون الطلبات إلى الخوادم الخلفية المناسبة.
ما يجب القيام به مع البيانات المسروقة
في الهجوم، تقوم جهات التهديد غير المسماة بتعديل ملفات تكوين NGINX وإدخال كتل ضارة تلتقط الطلبات الواردة. ثم يعيدون كتابتها لتضمين عنوان URL الأصلي وإعادة توجيه حركة المرور إلى النطاقات الخاضعة لسيطرتهم. وفقًا لـ DataDog، يتكون هذا الهجوم من خمس مراحل يبدأ بإدخال التكوين وينتهي بتصفية البيانات.
وبما أنه لا يتم استغلال أي ثغرة أمنية هنا، وما زال الضحايا ينتهي بهم الأمر إلى الصفحات التي طلبوها، فليس هناك ما هو أكثر حكمة. ومع ذلك، لا يزال مجرمو الإنترنت يفلتون من المعلومات القيمة التي يمكن استخدامها بطرق مختلفة.
ونظرًا للاحتفاظ بالرؤوس، يمكن للمهاجم جمع عناوين IP ووكلاء المستخدم والمحيلين والرموز المميزة للجلسة وملفات تعريف الارتباط وأحيانًا بيانات الاعتماد أو مفاتيح واجهة برمجة التطبيقات (API) إذا ظهرت في الطلبات. وفي المواقع الحكومية أو مواقع .edu، تعتبر هذه البيانات ذات قيمة خاصة.
يمكنهم أيضًا التعامل مع المحتوى بشكل انتقائي. نظرًا لأنه يتم اختراق مسارات URL معينة فقط، يمكن للمهاجم إدخال إعلانات أو صفحات تصيد احتيالي أو تنزيلات برامج ضارة أو مطالبات تسجيل دخول زائفة فقط عندما يريدون ذلك، مما يؤدي إلى استهداف مستخدمين أو مناطق أو مناطق زمنية محددة بنجاح.
ثم، هناك خيار تسييل حركة المرور وإعادة البيع. يمكن بيع حركة مرور المستخدم النظيفة والحقيقية التي يتم توجيهها عبر البنية التحتية للمهاجم بغرض الاحتيال في الإعلانات، أو التلاعب بتحسين محركات البحث، أو النقر الاحتيالي، أو استخدامها لتعزيز الخدمات الضارة الأخرى، وهي ممارسة شائعة في الأنظمة البيئية الوكيلة واسعة النطاق.
وأخيرًا، يمكن استخدام خوادم NGINX المخترقة لشن هجمات بالوكالة ضد أهداف أخرى، مما يؤدي إلى إخفاء أصولها بشكل فعال.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات