近日，伊朗黑客組織Tortoiseshell盯上了以色列航運(yùn)、物流和金融服務(wù)公司，至少有8家公司的相關(guān)網(wǎng)站遭遇了水坑攻擊。 

網(wǎng)絡(luò)安全公司ClearSky稱，此次攻擊是由一個名叫Tortoiseshell的伊朗威脅組織發(fā)起的，該組織也被稱為Crimson Sandstorm(以前的Curium)、Imperial Kitten和TA456。

ClearSky在周二發(fā)布的一份技術(shù)報告中提到：這些受到感染的網(wǎng)站是通過腳本收集初步用戶信息，大多數(shù)受影響的網(wǎng)站已經(jīng)被清除了惡意代碼。

據(jù)悉，該黑客組織從2018年7月已經(jīng)開始頻繁活動，早期的攻擊目標(biāo)是沙特阿拉伯的IT提供商。他們還為美國退伍軍人建立了虛假的招聘網(wǎng)站，以誘使他們下載遠(yuǎn)程訪問木馬。

這種攻擊方法也被稱為戰(zhàn)略網(wǎng)站攻擊，其工作原理是感染已知的一群用戶或特定行業(yè)內(nèi)的用戶經(jīng)常訪問的網(wǎng)站，從而傳播惡意軟件。

2022年8月，一個名為UNC3890的新興伊朗組織在一家合法的以色列航運(yùn)公司的登錄頁面上設(shè)置了一個“水坑”，將登錄用戶的初步數(shù)據(jù)傳輸?shù)焦粽呖刂频挠颉?/p>

根據(jù)ClearSky的最新入侵記錄顯示，注入網(wǎng)站的惡意JavaScript也以類似的方式運(yùn)行，收集有關(guān)系統(tǒng)的信息并將其發(fā)送到遠(yuǎn)程服務(wù)器。

此外，JavaScript代碼還會進(jìn)一步確認(rèn)用戶的語言偏好，ClearSky說這有利于攻擊者使用用戶日常使用的語言來設(shè)置對應(yīng)的攻擊策略，更有效的達(dá)成目的。

除此之外，這些攻擊還利用了一個名為jquery-stack的域，可實現(xiàn)在線指揮與控制(C2)，通過模擬合法的jQuery JavaScript框架來避開雷達(dá)。