ESET資安業者在本周揭露了來自同一集團的兩波水坑攻擊,並相信相關攻擊是來自於甫於11月初遭到美國制裁的以色列資安業者Candiru

ESET在2018年開發了一個客製化的就地部署系統,可偵測高知名度的網站是否遭遇到水坑(Watering Hole)攻擊,水坑攻擊是由駭客先於合法網站上植入惡意程式,但目標並非這些網站,而是造訪網站的使用者。

研究人員偵測到的第一波水坑攻擊始於2020年4月,當時被駭客作為攻擊跳板的其中一個網站,是英國專門報導中東新聞的Middle East Eye,但這波攻擊只持續到同年7月底,駭客即清除了所有網站上的惡意程式;第二波攻擊始於今年的1月,一直延續到今年8月,同樣的,駭客也主動清除了被駭網站的惡意程式碼。

調查顯示,這兩波攻擊總計危害了數十個網站,除了專門報導中東的新聞網站之外,還包括伊朗外交部、與真主黨有關的多個電視頻道、葉門內政部、葉門財政部、葉門議會、葉門電視頻道、敘利亞的中央監督及檢查機構、敘利亞的電力部,以及敘利亞/葉門的網路服務供應商等。

在第一波的攻擊中,駭客會先檢查使用者的作業系統,只有採用Windows或macOS系統才會成為攻擊目標,也檢查其瀏覽器品牌;而在第二波的攻擊中,駭客檢查的裝置指紋更詳細了,從系統預設的語言、所使用的瀏覽器、時區、瀏覽器外掛程式及IP位址等,令研究人員相信這是高度目標性的攻擊行動。

雖然ESET團隊沒能取得駭客遞送給受害者的酬載或攻擊程式,但他們相信駭客的目的,是以瀏覽器攻擊程式來取得受害者的系統權限。

此外,有鑑於相關攻擊所使用的C&C伺服器及註冊惡意網址的公司都跟Candiru有關,再加上其停止攻擊的時間點剛好是公民實驗室將Candiru曝光後沒多久,當時Google也公布了已經遭到駭客開採的4個瀏覽器零時差漏洞,且Chrome、IE與Safari皆榜上有名,使得ESET研究人員相信這兩波攻擊的幕後黑手就是Candiru。

另一資安業者卡巴斯基(Kaspersky)也發現了這兩波的水坑攻擊行動,並將它們分別命名為Piwiks與Karkadann,但未探究相關攻擊的來源。

熱門新聞

Advertisement