國際資安大廠ESET觀察到去年(2020年)至今有兩波網路攻擊,駭客在伊朗、葉門、敘利亞當地媒體及政府單位網站植入惡意程式,以試圖取得造訪網站用戶的系統權限,而相關攻擊使用的C&C伺服器及惡意網址註冊公司,都跟以色列間諜軟體公司Candiru有關。
ESET於2018年開發了一個客製化的就地部署系統,可偵測高知名度的網站是否遭遇到水坑(Watering Hole)攻擊,水坑攻擊是由駭客先於合法網站上植入惡意程式,但目標並非這些網站,而是造訪網站的使用者。
研究人員偵測到的第一波水坑攻擊始於2020年4月,當時被駭客作為攻擊跳板的其中一個網站,是英國專門報導中東新聞的Middle East Eye,但這波攻擊只持續到同年7月底,駭客即清除了所有網站上的惡意程式;第二波攻擊始於今年的1月,一直延續到今年8月,同樣的,駭客也主動清除了被駭網站的惡意程式碼。
調查顯示, 這兩波攻擊總計危害了數十個網站,除了專門報導中東的新聞網站之外,還包括伊朗外交部、與真主黨有關的多個電視頻道、葉門內政部、葉門財政部、葉門議會、葉門電視頻道、敘利亞的中央監督及檢查機構、敘利亞的電力部,以及敘利亞/葉門的網路服務供應商等。在第一波的攻擊中,駭客會先檢查使用者的作業系統,只有採用Windows或macOS系統才會成為攻擊目標,也檢查其瀏覽器品牌;而在第二波的攻擊中,駭客檢查的裝置指紋更詳細了,從系統預設的語言、所使用的瀏覽器、時區、瀏覽器外掛程式及IP位址等,令研究人員相信這是高度目標性的攻擊行動。
此外,有鑑於相關攻擊所使用的C&C伺服器及註冊惡意網址的公司都跟Candiru有關,再加上其停止攻擊的時間點剛好是公民實驗室將Candiru曝光後沒多久,當時Google也公布了已經遭到駭客開採的4個瀏覽器零時差漏洞,且Chrome、IE Safari皆榜上有名,使得ESET研究人員研判這兩波攻擊的幕後黑手就是Candiru。
原文出處:https://www.welivesecurity.com/2021/11/16/strategic-web-compromises-middle-east-pinch-candiru/
#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/