Au moins huit sites Web associés à des sociétés de transport, de logistique et de services financiers en Israël ont été ciblés dans le cadre d’une attaque au point d’eau.
La société de cybersécurité basée à Tel Aviv, ClearSky, a attribué les attaques avec peu de confiance à un acteur menaçant iranien suivi comme Écaille de tortueégalement appelé Crimson Sandstorm (anciennement Curium), Imperial Kitten et TA456.
« Les sites infectés collectent des informations préliminaires sur les utilisateurs via un script », ClearSky a dit dans un rapport technique publié mardi. La plupart des sites Web touchés ont été dépouillés du code malveillant.
L’écaille de tortue est connue pour être active depuis au moins juillet 2018, avec attaques précoces ciblant les fournisseurs informatiques en Arabie saoudite. Il a également été observé créer de faux sites de recrutement pour les vétérans de l’armée américaine dans le but de les inciter à télécharger des chevaux de Troie d’accès à distance.
Cela dit, ce n’est pas la première fois que des clusters d’activités iraniens jettent leur dévolu sur le secteur maritime israélien avec des points d’eau.
La méthode d’attaque, également appelée compromission stratégique du site Web, fonctionne en infectant un site Web connu pour être fréquemment visité par un groupe d’utilisateurs ou ceux d’un secteur spécifique afin de permettre la distribution de logiciels malveillants.
En août 2022, un acteur iranien émergent nommé UNC3890 a été attribué à un trou d’eau hébergé sur une page de connexion d’une compagnie maritime israélienne légitime qui est conçue pour transmettre des données préliminaires sur l’utilisateur connecté à un domaine contrôlé par l’attaquant.
Les dernières intrusions documentées par ClearSky montrent que le JavaScript malveillant injecté dans les sites Web fonctionne de manière similaire, collectant des informations sur le système et les envoyant à un serveur distant.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Le code JavaScript tente en outre de déterminer la préférence linguistique de l’utilisateur, ce qui, selon ClearSky, pourrait être « utile à l’attaquant pour personnaliser son attaque en fonction de la langue de l’utilisateur ».
En plus de cela, les attaques utilisent également un domaine nommé jquery-stack[.]en ligne pour le commandement et le contrôle (C2). L’objectif est de voler sous le radar en se faisant passer pour le framework JavaScript jQuery légitime.
Le développement intervient alors qu’Israël continue être la cible la plus importante pour les équipages parrainés par l’État iranien. Microsoft, plus tôt ce mois-ci, a souligné sa nouvelle approche consistant à combiner « des cyber-opérations offensives avec des opérations d’influence à plusieurs volets pour alimenter un changement géopolitique en alignement avec les objectifs du régime ».