近日,至少有八个与以色列的航运、物流和金融服务公司相关的网站遭遇了水坑攻击。总部位于特拉维夫的网络安全公司 ClearSky 怀疑,这些攻击背后极有可能是Tortoiseshell的伊朗威胁行为者,也称为 Crimson Sandstorm(以前称为 Curium)、Imperial Kitten 和 TA456。“受感染的网站通过脚本收集初步用户信息,”ClearSky在周二发布的一份技术报告中说。大多数受影响的网站都已去除流氓代码。已知Tortoiseshell至少从 2018 年 7 月开始活跃,早期攻击针对沙特阿拉伯的 IT 提供商,还曾为美国退伍军人建立虚假招聘网站,以诱使他们下载远程访问木马。也就是说,这并不是伊朗活动集群第一次将目光投向以色列的航运业。这种攻击方法也称为战略网站妥协,它通过感染已知被一组用户或特定行业的用户经常访问的网站来实现恶意软件的分发。2022 年 8 月,一名名为UNC3890的新兴伊朗演员被归因于托管在以色列合法航运公司登录页面上的一个水坑,该水坑旨在将有关登录用户的初步数据传输到攻击者控制的域。ClearSky 记录的最新入侵表明,注入网站的恶意 JavaScript 以类似的方式运行,收集有关系统的信息并将其发送到远程服务器。JavaScript 代码进一步尝试确定用户的语言偏好,ClearSky 表示这可能“有助于攻击者根据用户的语言定制他们的攻击”。最重要的是,攻击还利用名为 jquery-stack[.]online 的域进行命令和控制 (C2)。目标是通过模仿合法的 jQuery JavaScript 框架来躲避雷达。事态发展之际,以色列仍然是伊朗国家资助的船员最主要的目标。本月早些时候,微软强调了他们将“进攻性网络行动与多管齐下的影响力行动相结合,以推动地缘政治变革与政权目标保持一致”的新方法。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文