イスラエルの会社 Candiru のスパイウェアが調査の焦点となっています。 ESET は、メディア、政府、および防衛請負業者に対する水飲み場型攻撃を公開しています。 ターゲットは企業のウェブサイトです。
ヨーロッパの IT セキュリティ メーカー ESET の研究者は、メディア、政府、インターネット サービス プロバイダー、航空および防衛企業の Web サイトに対する戦略的な攻撃を明らかにしました。 現在の知識によると、焦点は中東の国の組織またはそこにつながりのある組織にあります。 イラン、サウジアラビア、シリア、イタリア、イギリス、南アフリカ、そして主にイエメンが影響を受けています。
ドイツのウェブサイトをターゲットにする
ドイツもサイバースパイの標的にされました。攻撃者は、デュッセルドルフに本拠を置く医療見本市 Medica の Web サイトを偽造しました。 このハッキング キャンペーンは、イスラエルのスパイ ソフトウェア メーカーである Candiru と密接に関連している可能性があります。 米国商務省は、政府機関に最先端の攻撃ソフトウェアとサービスを販売したとして、2021 年 2021 月初旬に同社をブラックリストに載せました。 ESET セキュリティ研究者は、https://www.welivesecurity.com/deutsch/11/17/XNUMX/watering-hole-attacke-im-nahen-osten/ で技術的な詳細を公開しました。
攻撃された Web サイトの範囲は相当なものです
- 英国、イエメン、サウジアラビアのメディアとヒズボラに関するメディア
- イラン(外務省)、シリア(電力省を含む)、イエメン(内務・財務省を含む)の政府機関
- イエメンとシリアのインターネット サービス プロバイダー
- イタリアと南アフリカの航空宇宙/軍事エンジニアリング企業
- ドイツの医療見本市
水飲み場攻撃の極秘
いわゆる「水飲み場攻撃」が使用されました。これは、特定の業界または機能のインターネット ユーザーを非常に明確に狙ったものです。 そうすることで、サイバー犯罪者は、被害者が頻繁にアクセスする Web サイトを特定します。 その目的は、Web サイトをマルウェアに感染させ、さらには対象者のコンピューターに感染させることです。 この検出されたキャンペーンでは、特定の Web サイト訪問者がブラウザーのエクスプロイトを介して標的にされた可能性があります。 これは、非常に的を絞った方法で行われ、ゼロデイ エクスプロイトの使用は最小限に抑えられました。 攻撃者は明らかに非常に集中して作業を行っており、操作を制限しようとしていました。 彼らはおそらく、自分たちの行動が何らかの方法で公表されることを望んでいませんでした. ESET がエクスプロイトまたはペイロードを検出できなかった理由を説明する他の方法はありません。
ESET 脆弱性システムは 2020 年に警鐘を鳴らしました
「2018 年には、有名な Web サイトの脆弱性を発見するためのカスタムの内部システムを構築しました。 11 年 2020 月 XNUMX 日、当社のシステムは、アブダビのイラン大使館の Web サイトが悪意のある JavaScript コードに感染したことを報告しました。 それは政府のウェブサイトだったので、私たちの好奇心はそそられました。 その後の数週間で、中東に関連する他の Web サイトも攻撃されていることに気付きました」と、Watering Hole キャンペーンを発見した ESET の研究者 Matthieu Faou は言います。
2020 年のキャンペーン中に使用された悪意のあるコードは、使用されているオペレーティング システムと Web ブラウザーをチェックしました。 固定のコンピュータ システムとサーバーのみが攻撃されました。 第 2021 の波では、攻撃者は侵害された Web サイトに既に存在するスクリプトを変更し始めました。 これにより、攻撃者は気付かれずに行動することができました。 「2021 年 XNUMX 月まで続いた長期の中断の後、新たな攻撃キャンペーンが見られました。 この第 XNUMX 波は XNUMX 年 XNUMX 月まで続きました」と Faou 氏は付け加えます。
デュッセルドルフのMEDICAも攻撃された
攻撃者はドイツでも活動しており、MEDICA 見本市 (「World Forum for Medicine」) に属する Web サイトを改ざんしました。 元の Web サイトを複製し、小さな JavaScript コードを追加しました。 攻撃者が正規の Web サイトを侵害できなかった可能性があります。 そのため、彼らは悪意のあるコードを挿入するために偽の Web サイトを設定することを余儀なくされました。
夕暮れのイスラエルのスパイウェア会社 Candiru
トロント大学の Citizen Lab によるイスラエル企業 Candiru に関するブログ投稿の「サウジにリンクされたクラスター?」というセクションで、VirusTotal にアップロードされたスピアフィッシング ドキュメントが報告されています。 また、攻撃者が運用しているいくつかのドメインについても言及されています。 ドメイン名は、実際の URL 短縮サービスと Web 分析 Web サイトのバリエーションです。 ESET の研究者は、攻撃を Candiru に関連付けて、「水飲み場攻撃でドメインに使用されたのと同じ手法です」と説明しています。
水飲み場キャンペーンの運営者が Candiru の顧客である可能性は低いとは考えられません。 イスラエルのスパイ企業は最近、米国商務省のエンティティ リストに追加されました。 これにより、米国を拠点とする組織は、最初に商務省からライセンスを取得せずに Candiru と取引することができなくなります。
現在のステータス
水飲み場攻撃の支援者は休憩中のようです。 彼らはその時間を使ってキャンペーンを一新し、目立たなくするかもしれません。 ESET のセキュリティ研究者は、今後数か月で再び活発になると予想しています。 中東の Web サイトに対するこれらの Watering Hole 攻撃に関する技術的な詳細は、ESET でオンラインで入手することもできます。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。