CSDN en vele andere websites zijn door hackers gehackt om Trojaanse virussen en phishing-websites te verspreiden. Het vermoeden bestaat dat CDN is aangevallen.

Volgens nieuws van het netwerkbeveiligingsbedrijf Qi'anxin Threat Intelligence Center heeft Qi'anxin onlangs opgemerkt dat meerdere websites, waaronder CSDN, werden gehackt en gebruikt om Trojaanse virussen en phishing-websites te verspreiden. Het QiAnXin Threat Intelligence Center constateerde vanaf begin september een scherpe toename van gerelateerde kwaadaardige domeinnamen (hxxps://analyzev.oss-cn-beijing.aliyuncs.com), maar tot eind september werden er geen effectieve payloads waargenomen, alleen enkele vreemde js-scripts.

De hierboven genoemde domeinnaam is de standaarddomeinnaam van OSS-objectopslag die door Alibaba Cloud aan klanten wordt geleverd, wat betekent dat hackers alle kwaadaardige bestanden in Alibaba Cloud OSS opslaan voor distributie, mogelijk om detectie van domeinnamen te voorkomen.

Eind oktober ondernamen hackers eindelijk actie en konden kwaadaardige payload-programma's waarnemen, waaronder:

hxxps://analyzev.oss-cn-beijing.aliyuncs.com/update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/flash_update.exehxxps://analyzev.oss-cn-beijing.aliyuncs.com/ntp_windows.exe

Uit de namen van deze bestanden kunnen we opmaken dat hackers Trojaanse virussen probeerden te vermommen als updateprogramma's, Flash, enz. Hackers imiteerden zelfs de foutpagina van de Google Chrome-browser om een ​​phishing-website met certificaatupdates te tekenen.

Onderstaande website lijkt een fout van Chrome te melden, maar het is in werkelijkheid een phishing-website gemaakt door hackers. Chrome heeft niet zo'n prompt:

Er werd waargenomen dat CSDN een Trojaanse website werd:

Onderzoekers van het Qi’anxin-team merkten ook op dat de verwijzingen die de bovengenoemde kwaadaardige programma’s opvroegen allemaal normale bloginhoud van de CSDN-website waren. Op basis van de relevante logbestanden werd uiteindelijk bevestigd dat CSDN was gehackt, en de onderzoekers hebben de situatie ook met succes gereproduceerd.

Dit extra geïntroduceerde js-script is hxxps://analyzev.oss-cn-beijing.aliyuncs.com/jquery-statistics.js. Dat wil zeggen dat als de website met dit script wordt geleverd, deze naar de phishing-website kan springen wanneer deze de voorgrond bezoekt.

Het is vermeldenswaard dat niet alleen CSDN is gehackt, maar dat ook veel branchewebsites en zelfs websites van lokale overheden zijn gehackt. Momenteel speculeert Qi Anxin dat een CDN-provider die door deze websites wordt gebruikt, is aangevallen. Dat wil zeggen dat hackers kwaadaardige scripts rechtstreeks via de CDN-kant naar de website laden en vervolgens de kwaadaardige scripts gebruiken om phishing-websites en Trojaanse virussen af ​​te leveren.

Qi'anxin heeft deze CDN-provider echter niet bekendgemaakt. De gerelateerde beveiligingssoftware van Qi'anxin kan dergelijke Trojaanse paarden al onderscheppen om de veiligheid van eindapparatuur te garanderen.