Skip to content

中東網站遭以色列間諜軟體公司Candiru展開水坑攻擊

國際資安大廠ESET觀察到去年(2020年)至今有兩波網路攻擊,駭客在伊朗、葉門、敘利亞當地媒體及政府單位網站植入惡意程式,以試圖取得造訪網站用戶的系統權限,而相關攻擊使用的C&C伺服器及惡意網址註冊公司,都跟以色列間諜軟體公司Candiru有關。

ESET於2018年開發了一個客製化的就地部署系統,可偵測高知名度的網站是否遭遇到水坑(Watering Hole)攻擊,水坑攻擊是由駭客先於合法網站上植入惡意程式,但目標並非這些網站,而是造訪網站的使用者。

研究人員偵測到的第一波水坑攻擊始於2020年4月,當時被駭客作為攻擊跳板的其中一個網站,是英國專門報導中東新聞的Middle East Eye,但這波攻擊只持續到同年7月底,駭客即清除了所有網站上的惡意程式;第二波攻擊始於今年的1月,一直延續到今年8月,同樣的,駭客也主動清除了被駭網站的惡意程式碼。

調查顯示, 這兩波攻擊總計危害了數十個網站,除了專門報導中東的新聞網站之外,還包括伊朗外交部、與真主黨有關的多個電視頻道、葉門內政部、葉門財政部、葉門議會、葉門電視頻道、敘利亞的中央監督及檢查機構、敘利亞的電力部,以及敘利亞/葉門的網路服務供應商等。在第一波的攻擊中,駭客會先檢查使用者的作業系統,只有採用Windows或macOS系統才會成為攻擊目標,也檢查其瀏覽器品牌;而在第二波的攻擊中,駭客檢查的裝置指紋更詳細了,從系統預設的語言、所使用的瀏覽器、時區、瀏覽器外掛程式及IP位址等,令研究人員相信這是高度目標性的攻擊行動。

此外,有鑑於相關攻擊所使用的C&C伺服器及註冊惡意網址的公司都跟Candiru有關,再加上其停止攻擊的時間點剛好是公民實驗室將Candiru曝光後沒多久,當時Google也公布了已經遭到駭客開採的4個瀏覽器零時差漏洞,且Chrome、IE Safari皆榜上有名,使得ESET研究人員研判這兩波攻擊的幕後黑手就是Candiru。

原文出處:https://www.welivesecurity.com/2021/11/16/strategic-web-compromises-middle-east-pinch-candiru/

#若有任何資安需求,歡迎洽詢台灣二版資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://version-2.com.tw/  

關於台灣二版Version 2
台灣二版(V2)是亞洲其中一間最有活力的IT公司,發展及代理各種互聯網、資訊科技、資訊安全、多媒體產品,包括通訊系統等,透過龐大銷售點、經銷商及合作伙伴,提供廣被市場讚賞的產品及客製化、在地化的專業服務。台灣二版(V2)的銷售範圍包括香港、中國、台灣、新加坡、澳門等地區,客戶涵蓋各產業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企業及來自亞洲各城市的消費市場客戶。 

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟體提供商,其 獲獎產品——NOD32防病毒軟體系統,能夠針對各種已知或未知病毒、間諜軟體 (spyware)、rootkits和其他惡意軟體為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲 得了更多的Virus Bulletin 100%獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳 能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布里斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事 處,代理機構覆蓋全球超過100個國家。