Хакеры начали взламывать серверы Nginx для перенаправления пользовательского трафика

Злоумышленники развернули новую кампанию атак, в рамках которой получают контроль над серверами Nginx и используют их для незаметного перехвата пользовательского трафика с последующим перенаправлением на сторонние ресурсы. Под удар попадают как коммерческие сайты, так и государственные и образовательные платформы.

Nginx представляет собой популярное программное решение с открытым исходным кодом, которое отвечает за обработку веб трафика. Оно работает как связующее звено между пользователем и серверной частью и применяется для раздачи контента, балансировки нагрузки, кэширования и работы в режиме обратного прокси. Именно эта универсальность делает его удобной целью для скрытых манипуляций.

Исследователи DataDog Security Labs выявили вредоносную активность, ориентированную на установки Nginx и хостинговую панель Baota. В зоне риска оказались сайты с азиатскими доменами верхнего уровня .in, .id, .pe, .bd и .th, а также ресурсы с доменными зонами .edu и .gov, которые часто используются государственными структурами и учебными заведениями.

В рамках атаки злоумышленники не внедряют сторонний код в систему напрямую, а аккуратно правят существующие конфигурационные файлы Nginx. В них добавляются вредоносные блоки location, перехватывающие входящие запросы по заранее выбранным адресам. После этого запросы переписываются с сохранением полного исходного URL и отправляются через директиву proxy_pass на домены, находящиеся под контролем атакующих.

Такой приём выглядит особенно убедительно, поскольку proxy_pass широко применяется в легитимных сценариях балансировки нагрузки. Обычно с его помощью Nginx распределяет запросы между группами серверов для повышения производительности или отказоустойчивости, поэтому подобная активность не вызывает автоматических сигналов тревоги.

Чтобы трафик не выглядел подозрительным, атакующие сохраняют исходные заголовки запросов. В их числе Host, X Real IP, User Agent и Referer. Это создаёт иллюзию нормального пользовательского обращения и затрудняет выявление подмены.

Для внедрения изменений используется многоэтапный скриптовый инструментарий. Он построен по модульному принципу и последовательно подстраивается под конкретную конфигурацию сервера.