En az sekiz İsrail web sitesi, araştırmacıların bir İran ulus-devlet tehdit grubunun işi olabileceğini söylediği bir su kuyusu kampanyasında hedef alındı.
ClearSky Cyber Security tarafından keşfedilen saldırı kampanyası, nakliye ve lojistik şirketlerine odaklanıyor. Bir siteye virüs bulaştığında, kötü amaçlı bir komut dosyası ön kullanıcı bilgilerini toplar.
ClearSky, İran dışındaki Tortoiseshell grubuna “düşük güvenliğe sahip özel bir atıf” olduğunu söyledi. Nakliye ve lojistik şirketlerinin hedef alınması, İran’ın son üç yılda bu sektöre yönelik siber saldırı geçmişiyle örtüşüyor.
Şirket, “Suudi Arabistan’daki BT sağlayıcılarını hedef alan hem özel hem de kullanıma hazır kötü amaçlı yazılımların kullanıldığı önceki Tortoiseshell saldırılarının, nihai hedefi BT sağlayıcılarının müşterilerini tehlikeye atmak olan tedarik zinciri saldırıları gibi göründüğü gözlemlendi.” “Tehdit aktörü en az Temmuz 2018’den beri aktif.”
ClearSky, saldırılarda kullanılan C&C sunucusunu Tortoiseshell’e bağladı.
Watering hole saldırıları, genel olarak en çok kullanılan ilk erişim vektörünün bir parçası olmuştur. En az 2017’den beri İranlı tehdit aktörleri. ClearSky araştırmacıları jQuery kimliğine bürünen dört alan gözlemledi ve jQuery kimliğine bürünen alan adları, 2017’deki önceki bir İran kampanyasında sulama deliği saldırısı kullanılarak konuşlandırıldı.
İranlı tehdit grupları, nakliye ve sağlık hizmetleriyle ilgili lojistik şirketler hakkında veri toplamak amacıyla geleneksel olarak İsrail web sitelerini hedef aldı. ClearSky tarafından tespit edilen bu son web sitesi saldırısı, bir çabaya benzer Geçen yıl, UNC3890 adlı İranlı bir tehdit aktörünün benzer türde bir saldırı yoluyla İsrail’deki nakliye şirketlerini hedef aldığı gözlemlendi.