- DataDog melaporkan penyerang membajak konfigurasi NGINX untuk mengubah rute lalu lintas melalui infrastruktur berbahaya
- Kampanye ini menargetkan sektor pemerintahan dan pendidikan di Asia, memungkinkan pencurian token sesi, cookie, dan kredensial
- Lalu lintas yang dibajak digunakan untuk phishing, injeksi malware, penipuan iklan, dan proxy serangan lebih lanjut
Penjahat dunia maya menargetkan server NGINX, mengubah rute lalu lintas yang sah melalui infrastruktur jahat mereka, para ahli telah memperingatkan.
Peneliti keamanan di DataDog Security Labs menemukan bahwa para penyerang fokus terutama pada target Asia di pemerintahan dan industri pendidikan.
Server NGINX adalah sistem perangkat lunak yang berada di depan situs web atau aplikasi dan menangani lalu lintas web yang masuk. Mereka menyajikan konten, menyeimbangkan beban, dan merutekan permintaan ke server backend yang sesuai.
Apa yang harus dilakukan dengan data yang dicuri
Dalam serangan tersebut, pelaku ancaman yang tidak disebutkan namanya memodifikasi file konfigurasi NGINX dan menyuntikkan blok berbahaya yang mengambil permintaan masuk. Mereka kemudian menulis ulang untuk memasukkan URL asli dan meneruskan lalu lintas ke domain di bawah kendali mereka. Menurut DataDog, ini adalah serangan lima tahap yang dimulai dengan injeksi konfigurasi dan diakhiri dengan eksfiltrasi data.
Karena tidak ada kerentanan yang disalahgunakan di sini, dan korbannya masih muncul di halaman yang mereka minta, tidak ada yang lebih bijaksana. Namun, penjahat dunia maya berhasil mendapatkan informasi berharga yang dapat digunakan dengan berbagai cara.
Karena header dipertahankan, penyerang dapat mengumpulkan alamat IP, agen pengguna, perujuk, token sesi, cookie, dan terkadang kredensial atau kunci API jika muncul dalam permintaan. Di situs pemerintah atau .edu, data tersebut sangat berharga.
Mereka juga dapat memanipulasi konten secara selektif. Karena hanya jalur URL tertentu yang dibajak, penyerang dapat memasukkan iklan, halaman phishing, unduhan malware, atau perintah masuk palsu hanya jika mereka mau, dan berhasil menargetkan pengguna, wilayah, atau zona waktu tertentu.
Lalu, ada opsi monetisasi lalu lintas dan penjualan kembali. Lalu lintas pengguna nyata dan bersih yang disalurkan melalui infrastruktur penyerang dapat dijual untuk penipuan iklan, seo manipulasi, penipuan klik, atau digunakan untuk meningkatkan layanan jahat lainnya, yang merupakan praktik umum di ekosistem proxy berskala besar.
Terakhir, server NGINX yang disusupi dapat digunakan untuk memproksi serangan terhadap target lain, sehingga secara efektif menutupi asal usulnya.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
