本周一,Monster.com关闭了部分站点,原因是研究人员称其网站遭到了IFRAME攻击,同时攻击者使用了多路攻击工具包来感染了大量访问者。
求职网站Monster的Boulevard版块有部分网页打不开,然而到了晚上之后情况更加糟糕,整个网站都被黑了。许多美国主要的公司都出现在站点上——Google的搜索结果只能显示以“B”打头的公司的名称,诸如Banana Republic, Bank of America(美国银行), Black & Decker, Boeing(波音公司), Broadcom 和 Budget Car Rental.
Exploit Prevention Labs(危险防范实验室)的首席技术官Roger Thompson称,在Monster网站被黑之前,那些浏览网站的Boulevard版块的人实际上就已经遭到了Neosploit的攻击,这一攻击工具与臭名昭著的Mpack相类似。
典型的被感染的网页有
http://company.monster.com/toyfs/,这是丰田的财务部门的网页以及Best Buy的
http://company.monster.com/bestbuy网页。
和其它的IFRAME攻击一样,将用户访问的站点导向一个感染Neosploit的网站。据观察,在这次事件中不止一个染毒的网站,这些都与臭名昭著的RBN(俄罗斯商业网)有关。发动这次攻击的IP地址,被发现是位于澳大利亚的"myrdns.com"域名下的一个分支。但是,这个域名却又是在香港的一家名为HostFresh Internet服务提供商注册的。HostFresh和myrdns.com都与RBN的活动有关联,包括一直上演的IFRAME Cash图谋,RBN授权那些小的网站站长在他们的网站上注入IFRAME恶意代码发动攻击。
据一位匿名监测RBN活动的人士称,其它一些myrdsn.com/HostFresh IP 地址与8 月发生的印度银行劫持事件相关。
位于马萨诸塞州的Monster.com上一次成为安全新闻关注的焦点是在今年8月,那次事件他们承认黑客侵入他们的数据库达数星期之久,也有可能是数月,黑客使用其中的信息编造和发送大量的邮件进行非法的洗钱活动,还有诱使用户下载恶意软件。目前Monster.com方面还没有发表任何评论。
安全公告