ESET Research обнаруживает атаки на сайты на Ближнем Востоке со ссылками на шпионские программы Candiru
БРАТИСЛАВА, МОНРЕАЛЬ — 16 ноября 2021 года — Исследователи ESET обнаружили атаки на стратегический веб-компрометацию ("водопой") против известных веб-сайтов на Ближнем Востоке с особым упором на Йемен. Атаки связаны с Candiru, компанией, которая продает правительственным учреждениям самые современные наступательные программные средства и сопутствующие услуги. Пострадавшие веб-сайты принадлежат средствам массовой информации в Великобритании, Йемене и Саудовской Аравии, а также Хезболле; правительственным учреждениям в Иране (Министерству иностранных дел), Сирии (включая Министерство энергетики) и Йемене (включая Министерства внутренних дел и финансов); поставщикам интернет-услуг в Йемене и Сирии; и компаниям аэрокосмической и военной техники в Италии и Южной Африке. Злоумышленники также создали веб-сайт, имитирующий медицинскую выставку в Германии.
-ESET раскрывает исследование кампании стратегических веб-компромиссов, нацеленных на сайты средств массовой информации, правительства, интернет-провайдеров и компаний аэрокосмической/военной техники, со ссылками на Ближний Восток и уделением особого внимания Йемену и окружающему конфликту.
-Цели расположены на Ближнем Востоке: Иран, Саудовская Аравия, Сирия, Йемен; в Европе: Италия, Великобритания; и в Южной Африке. Злоумышленники также создали веб-сайт, имитирующий медицинскую выставку в Германии.
-Компания имеет тесные связи с Кандиру, израильской шпионской фирмой, недавно внесенной в черный список Министерством торговли США, которая продает современные программные средства и услуги для правительственных учреждений.
Атака на водопой компрометирует веб-сайты, которые, вероятно, будут посещаться заинтересованными лицами, тем самым открывая дверь для заражения компьютера посетителя веб-сайта. В этой кампании конкретные посетители этих веб-сайтов, вероятно, подверглись атаке с помощью эксплойта браузера. Однако исследователи ESET не смогли получить ни эксплойт, ни конечную полезную нагрузку. Это показывает, что участники угроз решили сузить фокус своих операций и не хотят сжигать свои эксплойты нулевого дня, демонстрируя, насколько целенаправленной является эта кампания. Скомпрометированные веб-сайты используются только в качестве отправной точки для достижения конечных целей.
“Еще в 2018 году мы разработали индивидуальную внутреннюю систему для обнаружения водопоев на популярных веб-сайтах. 11 июля 2020 года наша система уведомила нас о том, что веб-сайт посольства Ирана в Абу-Даби был заражен вредоносным кодом JavaScript. Наше любопытство было вызвано громким характером целевого веб-сайта, и в последующие недели мы заметили, что другие веб-сайты, связанные с Ближним Востоком, также были нацелены”, - говорит исследователь ESET Матье Фау, который раскрыл кампании "водопоя".
“Группа угроз затихла до января 2021 года, когда мы наблюдали новую волну компромиссов. Эта вторая волна продолжалась до августа 2021 года, когда все веб – сайты были снова очищены, как это было в 2020 году-вероятно, самими преступниками”, - добавляет он.
“Злоумышленники также имитировали веб-сайт, принадлежащий Всемирному форуму медицины, на выставке MEDICA, проходившей в Дюссельдорфе, Германия. Операторы клонировали исходный веб - сайт и добавили небольшой фрагмент кода JavaScript. Вполне вероятно, что злоумышленники не смогли скомпрометировать законный веб-сайт и были вынуждены создать поддельный, чтобы внедрить свой вредоносный код”, - говорит Фау.
Во время кампании 2020 года вредоносная программа проверила операционную систему и веб-браузер. Поскольку процесс отбора был основан на компьютерном программном обеспечении, кампания не была нацелена на мобильные устройства. Во второй волне, чтобы быть немного скрытнее, злоумышленники начали изменять скрипты, которые уже были на скомпрометированных сайтах.
“В блоге о Кандиру, опубликованном Citizen Lab в Университете Торонто, в разделе под названием "Кластер, связанный с Саудовской Аравией?" упоминается документ о подводной охоте, который был загружен в VirusTotal и несколько доменов, которыми управляли злоумышленники. Доменные имена являются вариациями подлинных сокращений URL-адресов и веб-сайтов для веб-аналитики, что является тем же методом, который используется для доменов, которые были замечены в атаках на водопой”, - объясняет Фау, связывая атаки с Кандиру.
Таким образом, существует значительная вероятность того, что операторы поливочных кампаний являются клиентами Candiru. Создатели документов и операторы водопоев также потенциально одинаковы. Candiru-частная израильская шпионская компания, которая недавно была добавлена в список организаций Министерства торговли США. Это может помешать любой американской организации вести бизнес с Candiru без предварительного получения лицензии Министерства торговли.
ESET прекратила наблюдать активность в этой операции в конце июля 2021 года, вскоре после публикации блогов Citizen Lab, Google и Microsoft, в которых подробно описывалась деятельность Кандиру. Операторы, похоже, делают паузу, вероятно, для того, чтобы перестроиться и сделать свою кампанию более скрытной. ESET Research ожидает их возвращения в ближайшие месяцы.
Для получения более подробной технической информации об этих атаках на веб-сайты на Ближнем Востоке читайте в блоге “Стратегический веб-компромисс на Ближнем Востоке с щепоткой Кандиру” о безопасности в WeLiveSecurity. Обязательно следуйте ESET Research в Twitter для получения последних новостей от ESET Research.
«МойОфис» представил обновленные версии корпоративных продуктов Squadus 1.7, Squadus PRO 1.7, «МойОфис Частное Облако» 3.2 и «МойОфис Стандартный». Нововведения создают удобное и защищенное пространство для эффективной командной работы. Также, в рамках релиза была значительно расширена функциональность приложений для частных лиц «МойОфис для дома»
Компания «РуБэкап» (входит в «Группу Астра») получила престижную премию FINNEXT на ежегодном форуме финансовых инноваций. Разработчик решения RuBackup признан лидером в специальной номинации «Эффективное импортозамещающее решение для резервного копирования, восстановления и защиты данных для банков»
Компании «Киберпротект» и Orion soft подтвердили взаимную совместимость системы резервного копирования Кибер Бэкап и платформы оркестрации контейнеризированных приложений Nova Container Platform. Вместе решения дают заказчикам инструменты для комплексной защиты данных в контейнерах: не только для гибкого резервного копирования и восстановления информации, но также и для мониторинга и контроля потенциальных уязвимостей
Разработчик ИИ-решений для интеллектуальной обработки информации Content AI и поставщик компьютерного оборудования ПИРИТ договорились о сотрудничестве при продвижении своих продуктов. Компании будут реализовывать сканеры Avision с редактором ContentReader PDF для корпоративных пользователей отечественных операционных систем
В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP
«Лаборатория Касперского» обнаружила вредоносную кампанию, в рамках которой злоумышленники распространяют зловред для ОС Windows под видом приложения на основе нейросетей для изменения голоса
Ваши контактные данные не публикуются на сайте.