Hackers Iranianos Tortoiseshell estão mirando na indústria logística de Israel
25 de Maio de 2023

Pelo menos oito websites associados a empresas de logística, transporte e serviços financeiros em Israel foram alvo de um ataque de watering hole.

A empresa de cibersegurança ClearSky, sediada em Tel Aviv, atribuiu os ataques com baixa confiança a um ator de ameaças iraniano rastreado como Tortoiseshell, também chamado de Crimson Sandstorm (anteriormente Curium), Imperial Kitten e TA456.

"Os sites infectados coletam informações preliminares do usuário por meio de um script", disse a ClearSky em um relatório técnico publicado na terça-feira.

A maioria dos sites afetados foi despojada do código malicioso.

Tortoiseshell é conhecido por estar ativo desde pelo menos julho de 2018, com ataques iniciais direcionados a provedores de TI na Arábia Saudita.

Também foi observado criando sites de contratação falsos para veteranos militares dos EUA na tentativa de enganá-los a baixar cavalos de Troia de acesso remoto.

Dito isso, esta não é a primeira vez que grupos de atividades iranianas têm como alvo o setor de transporte marítimo israelense com watering holes.

O método de ataque, também chamado de comprometimento estratégico de sites, funciona infectando um site que é conhecido por ser frequentemente visitado por um grupo de usuários ou aqueles dentro de uma indústria específica para permitir a distribuição de malware.

Em agosto de 2022, um ator iraniano emergente chamado UNC3890 foi atribuído a um watering hole hospedado em uma página de login de uma empresa de transporte marítimo israelense legítima que é projetada para transmitir dados preliminares sobre o usuário conectado para um domínio controlado pelo atacante.

As últimas intrusões documentadas pela ClearSky mostram que o JavaScript malicioso injetado nos sites funciona de maneira semelhante, coletando informações sobre o sistema e enviando-as para um servidor remoto.

O código JavaScript também tenta determinar a preferência de idioma do usuário, o que a ClearSky disse poder ser "útil para o atacante personalizar seu ataque com base no idioma do usuário".

Além disso, os ataques também fazem uso de um domínio chamado jquery-stack para comando e controle (C2).

O objetivo é voar abaixo do radar, fingindo ser o framework JavaScript jQuery legítimo.

O desenvolvimento ocorre enquanto Israel continua a ser o alvo mais proeminente das equipes patrocinadas pelo estado iraniano.

A Microsoft, no início deste mês, destacou sua nova abordagem de combinar "operações cibernéticas ofensivas com operações de influência de múltiplas facetas para alimentar a mudança geopolítica em alinhamento com os objetivos do regime".

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...