主要观点总结
奇安信网站云监测和威胁情报中心发现许多站点在晚上9点至凌晨5点使用安卓UA的设备访问时会跳转至色情网页,经查发现是使用了bshare分享插件的网页受到了攻击。攻击者通过抢注过期的通用插件服务域名static.bshare.cn来进行网页劫持。所有直接或间接使用了bshare分析插件的网页都会受到影响,影响范围可能达到百万级别。建议立即下线恶意脚本,用户应加强防护,对第三方依赖脚本进行全面安全排查。
关键观点总结
关键观点1: 攻击事件概述
攻击者通过抢注过期的bshare插件服务域名来进行网页劫持,影响范围广泛,可能涉及百万级别的网页。
关键观点2: 攻击手法
攻击者使用了bshare分享插件,通过修改插件中的JS代码来实施推流或其他网络攻击行为。
关键观点3: 受影响的对象
所有直接或间接引用恶意脚本的网页,尤其是使用了bshare插件的网页。
关键观点4: 紧急应对措施
1. 立即下线恶意脚本并清除浏览器缓存;2. 用户应加强防护,避免访问相关页面;3. 对所有第三方依赖脚本进行全面安全排查。
关键观点5: IOC信息
提供了相关的域名和URL信息,包括static.bshare.cn、360bs.julupan.com等色情域名,以及相关的JS文件路径。
正文
奇安信网站云监测和奇安信威胁情报中心在日常威胁狩猎活动中,发现很多站点在晚上9点至凌晨5点使用安卓UA的设备访问时,会跳转至同一色情网页。起初我们认为这批站点由于自身安全缺陷导致被黑产组织攻破利用,经过进一步分析,发现这些网页都引用了名为bshare的分享按钮插件,该插件对应的服务域名为static.bshare.cn;最后通过对域名static.bshare.cn的分析,我们确认这是一起通过抢注过期通用插件服务域名来实施大范围网页劫持的攻击事件。
所有直接或间接使用了bshare分析插件的网页都会受到影响。根据评估,恐怕会影响百万级别的网页。奇安信威胁情报中心在此提醒目前仍在使用bshare插件的用户,需要尽快更换或者停用bshare分享插件。
static.bshare.cn原本是个用来实现分享功能的按钮组件,使用该组件后可在网页上提供一键分享的按钮样式及功能。
使用该组件的需要在原网页中插入bshare网站的js资源,通常是hxxp://static[.]bshare.cn/b/bshareC0.js、hxxp://static[.]bshare.cn/b/buttonLite.js。
恶意的JavaScript代码主要位于bshareCO.js文件,网页组件调用的buttonLite.js或者bshareC0.js也会进一步加载bshareCO.js文件。该文件经解混淆后主要代码如下:
主要功能为对用户进行监测,如果为安卓用户且时间点为晚上21点到凌晨5点,则进行色情网页弹窗,实现推流效果。同时收集用户的设备和浏览器信息,并生成一个唯一的访客 ID,以便进行用户统计分析。
bShare是擘纳(上海)信息科技有限公司旗下产品, 而擘纳(上海)信息科技有限公司在2018-02-18已经注销.
但是2020-01-27时,bshare.cn的whois显示其依然有效,并且注册人联系邮箱为[email protected],与 擘纳(上海)信息科技有限公司的邮箱域名一致(上图);而i-click.com和 i-click.cn的域名相似且2021年3~4月份曾同时解析到210.5.172.215上;i-click.cn的ICP备案为爱点击(北京)数据科技有限公司(京ICP备13006473号-1);
在2023-09-07,bshare.cn的备案信息显示为爱点击(北京)数据科技有限公司(京ICP备13006473号-1)
此时 bshare.cn的whois信息显示也是一致的,也就是说爱点击(北京)数据科技有限公司和擘纳(上海)信息科技有限公司有一定关系,bshare.cn在2024-10-20 09:16:24之前一直是有效的。
直到2024-11-23,bshare.cn域名的状态从ok变为了clientHold锁定状态,clientHold状态是由域名注册商设置的,域名可能被设置为 clientHold 的原因包括:域名注册或续费费用未支付、未能提供正确的注册信息、违反了注册商的使用条款或政策、涉及法律纠纷或争议等。同时bshare.cn的ICP备案也已经过期,最后一次查到的时间在23年9月。
几乎同一时间static.bshare.cn域名的基础组件也更换为了历史从未出现过的OpenRestyWeb:
我们利用passiveDNS数据对static.bshare.cn解析到的IP地址进行分析发现,域名在2024年10月到期前解析的IP所属地理位置一直是大陆,而被抢注后解析的IP位置变为了港澳与海外。
综合以上分析我们判断bshare.cn在2024-10-20过期,然后被人抢注,不再属于爱点击(北京)数据科技有限公司。所以2024-10-20之后,bshare分享插件实际上已经不再可用了;而bshare.cn域名到期后,使用了bshare组件的网页并不会自动更新或者删除相关引用代码,访问这些网页仍旧会自动请求hxxp://static[.]bshare.cn/b/bshareC0.js、hxxp://static[.]bshare.cn/b/buttonLite.js。
Bshare.cn域名在被人抢注后,域名拥有者可以非常方便地通过修改hxxp://static[.]bshare.cn/b/bshareC0.js、hxxp://static[.]bshare.cn/b/buttonLite.js的JS代码来进一步控制所有引用了bshare插件的网页,从而进行推流或是其他网络攻击行为,比如推送钓鱼页面。
2024年12月,我们披露了UTG-Q-015组织利用bshare.cn域名进行钓鱼攻击的活动(见参考链接[1])。在处理24年12月的UTG-Q-015攻击事件的应急中,我们也发现了包含了色情推流相关代码的hxxp://static[.]bshare.cn/b/bshareCO.js,该JS代码中引流的色情网址是hxxps://360bs[.]xyndt.com/?bs,如下图。
本次事件的色情推流代码中,涉及的色情网址则是hxxps://360bs[.]julupan.com/?bs, 可以发现这两个网址的结构基本一致。鉴于两次事件发生的时间都是在static.bshare.cn域名被重新接管使用后,并且时间接近,应是同一黑产团伙所为。至于这个接管了bshare.cn的黑产团伙与UTG-Q-015是否有直接关系,目前还不明确;但是从恶意代码涉及到的“业务”来看,我们认为该团伙可能是以盈利为目的、出售引流推广和网页劫持服务的黑产团伙。
受影响对象
:所有直接或间接引用上述恶意脚本的网页。
