İsrail’deki nakliye, lojistik ve finansal hizmetler şirketleriyle ilişkili en az sekiz web sitesi, bir su kuyusu saldırısının parçası olarak hedef alındı.
Tel Aviv merkezli siber güvenlik şirketi ClearSky, saldırıları düşük bir güvenle, takip edilen İranlı bir tehdit aktörüne bağladı. BağaCrimson Sandstorm (eski adıyla Curium), Imperial Kitten ve TA456 olarak da anılır.
ClearSky, “Virüs bulaşmış siteler, ön kullanıcı bilgilerini bir komut dosyası aracılığıyla toplar” söz konusu Salı günü yayınlanan bir teknik raporda. Etkilenen web sitelerinin çoğu hileli koddan arındırılmıştır.
Tortoiseshell’in en az Temmuz 2018’den beri aktif olduğu biliniyor. erken saldırılar Suudi Arabistan’daki BT sağlayıcılarını hedefliyor. Ayrıca gözlemlendi sahte işe alma siteleri kurmak uzaktan erişim truva atlarını indirmeleri için onları kandırmak amacıyla ABD askeri gazileri için.
Bununla birlikte, İran faaliyet kümelerinin gözlerini İsrail denizcilik sektörüne sulama delikleri ile diktiği ilk sefer değil.
Stratejik web sitesi tavizleri olarak da adlandırılan saldırı yöntemi, kötü amaçlı yazılımların dağıtımını sağlamak için bir grup kullanıcı veya belirli bir sektördeki kullanıcılar tarafından yaygın olarak ziyaret edildiği bilinen bir web sitesine bulaşarak çalışır.
Ağustos 2022’de, UNC3890 adlı yeni ortaya çıkan bir İranlı aktör, oturum açmış kullanıcı hakkındaki ön verileri saldırganın kontrolündeki bir alana iletmek üzere tasarlanmış meşru bir İsrail nakliye şirketinin oturum açma sayfasında barındırılan bir su kuyusuna atfedildi.
ClearSky tarafından belgelenen en son izinsiz girişler, web sitelerine enjekte edilen kötü amaçlı JavaScript’in benzer şekilde çalıştığını, sistem hakkında bilgi topladığını ve uzak bir sunucuya gönderdiğini gösteriyor.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
JavaScript kodu ayrıca, ClearSky’nin “saldırganın saldırısını kullanıcının diline göre özelleştirmesi için yararlı olabileceğini” söylediği kullanıcının dil tercihini belirlemeye çalışır.
Bunun da ötesinde, saldırılar ayrıca jquery-stack adlı bir etki alanından da yararlanır.[.]komuta ve kontrol için çevrimiçi (C2). Amaç, meşru jQuery JavaScript çerçevesini taklit ederek radarın altından uçmaktır.
Gelişme İsrail olarak geliyor devam ediyor İran devlet destekli mürettebat için en önemli hedef olmak. Microsoft, bu ayın başlarında, “rejimin hedefleriyle uyumlu jeopolitik değişimi körüklemek için saldırgan siber operasyonları çok yönlü etki operasyonlarıyla birleştirme” konusundaki yeni yaklaşımlarının altını çizdi.