Зловредные группы начали атаковать серверы Nginx, осуществляя перехват пользовательского трафика. Nginx — это популярное программное обеспечение с открытым исходным кодом, служащее промежуточным звеном между пользователями и серверами, и широко применяется для балансировки нагрузки, кэширования и обратного проксирования.
Новая кампания, обнаруженная специалистами из DataDog Security Labs, направлена на установки Nginx и хостинг-панели Baota, используемые на сайтах с азиатскими TLD, а также на образовательных и правительственных ресурсах. Злоумышленники изменяют конфигурационные файлы, добавляя вредоносные блоки «location», которые перенаправляют запросы на контролируемые ими домены.
Атака предполагает использование многоэтапного инструментального скрипта, который тщательно внедряет изменения в конфигурацию, проверяет её корректность и спокойно перезагружает Nginx. Этапы включают в себя загрузку скриптов, выбор конфигураций, тестирование на наличие предыдущих вмешательств и сбор информации о захваченных доменах. Проблема усугубляется тем, что атака не использует уязвимости Nginx, из-за чего скрытые вредоносные инструкции остаются незамеченными. Подобные действия требуют тщательного мониторинга, чтобы предотвратить перехват трафика.
tasani.ru