Pelo menos oito websites associados a empresas de logística, transporte e serviços financeiros em Israel foram alvo de um ataque de watering hole.
A empresa de cibersegurança ClearSky, sediada em Tel Aviv, atribuiu os ataques com baixa confiança a um ator de ameaças iraniano rastreado como Tortoiseshell, também chamado de Crimson Sandstorm (anteriormente Curium), Imperial Kitten e TA456.
"Os sites infectados coletam informações preliminares do usuário por meio de um script", disse a ClearSky em um relatório técnico publicado na terça-feira.
A maioria dos sites afetados foi despojada do código malicioso.
Tortoiseshell é conhecido por estar ativo desde pelo menos julho de 2018, com ataques iniciais direcionados a provedores de TI na Arábia Saudita.
Também foi observado criando sites de contratação falsos para veteranos militares dos EUA na tentativa de enganá-los a baixar cavalos de Troia de acesso remoto.
Dito isso, esta não é a primeira vez que grupos de atividades iranianas têm como alvo o setor de transporte marítimo israelense com watering holes.
O método de ataque, também chamado de comprometimento estratégico de sites, funciona infectando um site que é conhecido por ser frequentemente visitado por um grupo de usuários ou aqueles dentro de uma indústria específica para permitir a distribuição de malware.
Em agosto de 2022, um ator iraniano emergente chamado UNC3890 foi atribuído a um watering hole hospedado em uma página de login de uma empresa de transporte marítimo israelense legítima que é projetada para transmitir dados preliminares sobre o usuário conectado para um domínio controlado pelo atacante.
As últimas intrusões documentadas pela ClearSky mostram que o JavaScript malicioso injetado nos sites funciona de maneira semelhante, coletando informações sobre o sistema e enviando-as para um servidor remoto.
O código JavaScript também tenta determinar a preferência de idioma do usuário, o que a ClearSky disse poder ser "útil para o atacante personalizar seu ataque com base no idioma do usuário".
Além disso, os ataques também fazem uso de um domínio chamado jquery-stack para comando e controle (C2).
O objetivo é voar abaixo do radar, fingindo ser o framework JavaScript jQuery legítimo.
O desenvolvimento ocorre enquanto Israel continua a ser o alvo mais proeminente das equipes patrocinadas pelo estado iraniano.
A Microsoft, no início deste mês, destacou sua nova abordagem de combinar "operações cibernéticas ofensivas com operações de influência de múltiplas facetas para alimentar a mudança geopolítica em alinhamento com os objetivos do regime".