近日,伊朗黑客组织Tortoiseshell盯上了以色列航运、物流和金融服务公司,至少有8家公司的相关网站遭遇了水坑攻击。
网络安全公司ClearSky称,此次攻击是由一个名叫Tortoiseshell的伊朗威胁组织发起的,该组织也被称为Crimson Sandstorm(以前的Curium)、Imperial Kitten和TA456。
ClearSky在周二发布的一份技术报告中提到:这些受到感染的网站是通过脚本收集初步用户信息,大多数受影响的网站已经被清除了恶意代码。
据悉,该黑客组织从2018年7月已经开始频繁活动,早期的攻击目标是沙特阿拉伯的IT提供商。他们还为美国退伍军人建立了虚假的招聘网站,以诱使他们下载远程访问木马。
这种攻击方法也被称为战略网站攻击,其工作原理是感染已知的一群用户或特定行业内的用户经常访问的网站,从而传播恶意软件。
2022年8月,一个名为UNC3890的新兴伊朗组织在一家合法的以色列航运公司的登录页面上设置了一个“水坑”,将登录用户的初步数据传输到攻击者控制的域。
根据ClearSky的最新入侵记录显示,注入网站的恶意JavaScript也以类似的方式运行,收集有关系统的信息并将其发送到远程服务器。
此外,JavaScript代码还会进一步确认用户的语言偏好,ClearSky说这有利于攻击者使用用户日常使用的语言来设置对应的攻击策略,更有效的达成目的。
除此之外,这些攻击还利用了一个名为jquery-stack的域,可实现在线指挥与控制(C2),通过模拟合法的jQuery JavaScript框架来避开雷达。
