En az sekiz İsrail web sitesi, araştırmacıların bir İran ulus-devlet tehdit grubunun işi olabileceğini söylediği bir su kuyusu kampanyasında hedef alındı.
Saldırı kampanyası, ClearSky Siber Güvenlik tarafından keşfedildi, nakliye ve lojistik şirketlerine odaklanmaktadır. Bir siteye virüs bulaştığında, kötü amaçlı bir komut dosyası ön kullanıcı bilgilerini toplar.
ClearSky, İran dışındaki Tortoiseshell grubuna “düşük güvenliğe sahip özel bir atıf” olduğunu söyledi. Nakliye ve lojistik şirketlerinin hedef alınması, İran’ın son üç yılda bu sektöre yönelik siber saldırı geçmişiyle örtüşüyor.
Şirket, “Suudi Arabistan’daki BT sağlayıcılarını hedef alan hem özel hem de kullanıma hazır kötü amaçlı yazılımların kullanıldığı önceki Tortoiseshell saldırılarında, nihai hedefi BT sağlayıcılarının müşterilerini tehlikeye atmak olan tedarik zinciri saldırıları gibi görünen saldırılar gözlemlendi.” “Tehdit aktörü en az Temmuz 2018’den beri aktif.”
ClearSky, saldırılarda kullanılan C&C sunucusunu Tortoiseshell’e bağladı.
Watering hole saldırıları, genel olarak en çok kullanılan ilk erişim vektörünün bir parçası olmuştur. En az 2017’den beri İranlı tehdit aktörleri. ClearSky araştırmacıları jQuery kimliğine bürünen dört alan gözlemledi ve jQuery kimliğine bürünen alan adları, 2017’deki önceki bir İran kampanyasında sulama deliği saldırısı kullanılarak konuşlandırıldı.
İranlı tehdit grupları, nakliye ve sağlık hizmetleriyle ilgili lojistik şirketler hakkında veri toplamak amacıyla geleneksel olarak İsrail web sitelerini hedef aldı. ClearSky tarafından tespit edilen bu son web sitesi saldırısı, bir çabaya benzer Geçen yıl, UNC3890 adlı İranlı bir tehdit aktörünün benzer türde bir saldırı yoluyla İsrail’deki nakliye şirketlerini hedef aldığı gözlemlendi.