(資料圖片)
近日��,伊朗黑客組織Tortoiseshell盯上了以色列航運(yùn)��、物流和金融服務(wù)公司��,至少有8家公司的相關(guān)網(wǎng)站遭遇了水坑攻擊����。
網(wǎng)絡(luò)安全公司ClearSky稱����,此次攻擊是由一個(gè)名叫Tortoiseshell的伊朗威脅組織發(fā)起的,該組織也被稱為Crimson Sandstorm(以前的Curium)����、Imperial Kitten和TA456���。
ClearSky在周二發(fā)布的一份技術(shù)報(bào)告中提到:這些受到感染的網(wǎng)站是通過(guò)腳本收集初步用戶信息���,大多數(shù)受影響的網(wǎng)站已經(jīng)被清除了惡意代碼。
據(jù)悉�����,該黑客組織從2018年7月已經(jīng)開(kāi)始頻繁活動(dòng),早期的攻擊目標(biāo)是沙特阿拉伯的IT提供商���。他們還為美國(guó)退伍軍人建立了虛假的招聘網(wǎng)站,以誘使他們下載遠(yuǎn)程訪問(wèn)木馬���。
這種攻擊方法也被稱為戰(zhàn)略網(wǎng)站攻擊,其工作原理是感染已知的一群用戶或特定行業(yè)內(nèi)的用戶經(jīng)常訪問(wèn)的網(wǎng)站���,從而傳播惡意軟件����。
2022年8月��,一個(gè)名為UNC3890的新興伊朗組織在一家合法的以色列航運(yùn)公司的登錄頁(yè)面上設(shè)置了一個(gè)“水坑”,將登錄用戶的初步數(shù)據(jù)傳輸?shù)焦粽呖刂频挠颉?/p>
根據(jù)ClearSky的最新入侵記錄顯示���,注入網(wǎng)站的惡意JavaScript也以類似的方式運(yùn)行����,收集有關(guān)系統(tǒng)的信息并將其發(fā)送到遠(yuǎn)程服務(wù)器�����。
此外��,JavaScript代碼還會(huì)進(jìn)一步確認(rèn)用戶的語(yǔ)言偏好�����,ClearSky說(shuō)這有利于攻擊者使用用戶日常使用的語(yǔ)言來(lái)設(shè)置對(duì)應(yīng)的攻擊策略��,更有效的達(dá)成目的�����。
除此之外����,這些攻擊還利用了一個(gè)名為jquery-stack的域,可實(shí)現(xiàn)在線指揮與控制(C2)���,通過(guò)模擬合法的jQuery JavaScript框架來(lái)避開(kāi)雷達(dá)���。
