作为旨在收集敏感信息的水坑攻击的一部分,多达 25 个与库尔德少数民族相关的网站遭到入侵,时间已超过一年半。
法国网络安全公司 Sekoia 披露了名为 SilentSelfie 的活动的细节,该公司将入侵集描述为长期持续,最早检测到感染迹象可追溯到 2022 年 12 月。
它补充说,战略性 Web 入侵旨在提供信息窃取框架的四种不同变体。
“这些范围从最简单的,它只是窃取用户的位置,到更复杂的,从自拍相机记录图像并引导选定的用户安装恶意 APK,即在 Android 上使用的应用程序,”安全研究人员 Felix Aimé 和 Maxime A 在周三的一份报告中说。
目标网站包括库尔德新闻和媒体、Rojava 政府及其武装部队、与土耳其和库尔德地区革命极左翼政党和组织相关的网站。Sekoia 告诉 The Hacker News,这些网站最初被入侵的确切方法仍不确定。
这些攻击尚未归因于任何已知的威胁行为者或实体,这表明出现了一个针对库尔德社区的新威胁集群,该集群之前曾被 StrongPity 和 BladeHawk 等组织挑出。
今年早些时候,荷兰安全公司Hunt & Hackett也透露,荷兰的库尔德网站被一个被称为Sea Turtle的土耳其-关系威胁行为者挑出来。
Watering Hole 攻击的特点是部署恶意 JavaScript,负责从网站访问者那里收集各种信息,包括他们的位置、设备数据(例如 CPU 数量、电池状态、浏览器语言等)和公共 IP 地址等。
在三个网站 (rojnews[.]新闻, HawarNews[.]com 和 targetPlatform[.]净。还观察到将用户重定向到流氓 Android APK 文件,而其他一些文件包括通过名为“sessionIdVal”的 cookie 进行用户跟踪的能力。
根据 Sekoia 的分析,Android 应用程序将网站本身嵌入为 WebView,同时还根据授予它的权限秘密地徘徊系统信息、联系人列表、位置和存在于外部存储中的文件。
“值得注意的是,这种恶意代码没有任何持久性机制,而仅在用户打开 RojNews 应用程序时执行,”研究人员指出。
“一旦用户打开应用程序,10 秒后,LocationHelper 服务就会开始向 URL rojnews[.] 发送信标。news/wp-includes/sitemaps/ 通过 HTTP POST 请求,共享用户的当前位置并等待命令执行。
关于 SilentSelfie 的幕后黑手知之甚少,但 Sekoia 根据 2023 年 10 月KDP 部队逮捕 RojNews 记者 Silêman Ehmed 的手笔,评估这可能是伊拉克库尔德斯坦地区政府的杰作。他于 2024 年 7 月被判处三年监禁。
研究人员说:“尽管这种水坑活动并不复杂,但它受影响的库尔德网站的数量及其持续时间是值得注意的。“该活动的复杂程度较低,这表明它可能是能力有限且对该领域相对较新的未被发现的威胁行为者所为。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容