(https://i.imgur.com/Y09wCAy.png)
Al menos ocho sitios web asociados con compañías de envío, logística y servicios financieros en Israel fueron atacados como parte de un ataque de abrevadero.
La compañía de ciberseguridad ClearSky, con sede en Tel Aviv, atribuyó los ataques con poca confianza a un actor de amenazas iraní rastreado como Tortoiseshell, que también se llama Crimson Sandstorm (anteriormente Curium), Imperial Kitten y TA456.
"Los sitios infectados recopilan información preliminar del usuario a través de un script", dijo ClearSky en un informe técnico publicado el martes. La mayoría de los sitios web afectados han sido despojados del código malicioso.
Se sabe que el carey está activo desde al menos julio de 2018, con ataques tempranos dirigidos a proveedores de TI en Arabia Saudita. También se ha observado la creación de sitios web de contratación falsos para veteranos militares estadounidenses en un intento por engañarlos para que descarguen troyanos de acceso remoto.
Dicho esto, esta no es la primera vez que los grupos de actividad iraníes han puesto su mirada en el sector naviero israelí con abrevaderos.
El método de ataque, también llamado compromisos estratégicos de sitios web, funciona infectando un sitio web que se sabe que es visitado comúnmente por un grupo de usuarios o aquellos dentro de una industria específica para permitir la distribución de malware.
(https://i.imgur.com/ZQxxgVR.png)
En agosto de 2022, un actor iraní emergente llamado UNC3890 fue atribuido a un abrevadero alojado en una página de inicio de sesión de una compañía naviera israelí legítima que está diseñada para transmitir datos preliminares sobre el usuario conectado a un dominio controlado por el atacante.
Las últimas intrusiones documentadas por ClearSky muestran que el JavaScript malicioso inyectado en los sitios web funciona de manera similar, recopilando información sobre el sistema y enviándola a un servidor remoto.
El código JavaScript intenta determinar la preferencia de idioma del usuario, lo que ClearSky dijo que podría ser "útil para el atacante para personalizar su ataque en función del idioma del usuario".
Además de eso, los ataques también hacen uso de un dominio llamado jquery-stack[.] en línea para comando y control (C2). El objetivo es volar bajo el radar haciéndose pasar por el marco legítimo de JavaScript jQuery.
El desarrollo se produce cuando Israel sigue siendo el objetivo más prominente para las tripulaciones patrocinadas por el estado iraní. Microsoft, a principios de este mes, destacó su nuevo enfoque de combinar "operaciones cibernéticas ofensivas con operaciones de influencia múltiple para impulsar el cambio geopolítico en alineación con los objetivos del régimen".
Fuente: https://thehackernews.com