Hackers Iranianos Tortoiseshell estão mirando na indústria logística de Israel
25 de Maio de 2023

Pelo menos oito websites associados a empresas de logística, transporte e serviços financeiros em Israel foram alvo de um ataque de watering hole.

A empresa de cibersegurança ClearSky, sediada em Tel Aviv, atribuiu os ataques com baixa confiança a um ator de ameaças iraniano rastreado como Tortoiseshell, também chamado de Crimson Sandstorm (anteriormente Curium), Imperial Kitten e TA456.

"Os sites infectados coletam informações preliminares do usuário por meio de um script", disse a ClearSky em um relatório técnico publicado na terça-feira.

A maioria dos sites afetados foi despojada do código malicioso.

Tortoiseshell é conhecido por estar ativo desde pelo menos julho de 2018, com ataques iniciais direcionados a provedores de TI na Arábia Saudita.

Também foi observado criando sites de contratação falsos para veteranos militares dos EUA na tentativa de enganá-los a baixar cavalos de Troia de acesso remoto.

Dito isso, esta não é a primeira vez que grupos de atividades iranianas têm como alvo o setor de transporte marítimo israelense com watering holes.

O método de ataque, também chamado de comprometimento estratégico de sites, funciona infectando um site que é conhecido por ser frequentemente visitado por um grupo de usuários ou aqueles dentro de uma indústria específica para permitir a distribuição de malware.

Em agosto de 2022, um ator iraniano emergente chamado UNC3890 foi atribuído a um watering hole hospedado em uma página de login de uma empresa de transporte marítimo israelense legítima que é projetada para transmitir dados preliminares sobre o usuário conectado para um domínio controlado pelo atacante.

As últimas intrusões documentadas pela ClearSky mostram que o JavaScript malicioso injetado nos sites funciona de maneira semelhante, coletando informações sobre o sistema e enviando-as para um servidor remoto.

O código JavaScript também tenta determinar a preferência de idioma do usuário, o que a ClearSky disse poder ser "útil para o atacante personalizar seu ataque com base no idioma do usuário".

Além disso, os ataques também fazem uso de um domínio chamado jquery-stack para comando e controle (C2).

O objetivo é voar abaixo do radar, fingindo ser o framework JavaScript jQuery legítimo.

O desenvolvimento ocorre enquanto Israel continua a ser o alvo mais proeminente das equipes patrocinadas pelo estado iraniano.

A Microsoft, no início deste mês, destacou sua nova abordagem de combinar "operações cibernéticas ofensivas com operações de influência de múltiplas facetas para alimentar a mudança geopolítica em alinhamento com os objetivos do regime".

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...