小百科,大世界
首页 / 计算机 / IT资讯

[1]针对库尔德网站的水坑攻击分发恶意APK文件和间谍软件 繁體

作为旨在收集敏感信息的水坑攻击的一部分,多达 25 个与库尔德少数民族相关的网站遭到入侵,时间已超过一年半。

法国网络安全公司 Sekoia 披露了名为 SilentSelfie 的活动的细节,该公司将入侵集描述为长期持续,最早检测到感染迹象可追溯到 2022 年 12 月。

它补充说,战略性 Web 入侵旨在提供信息窃取框架的四种不同变体。

“这些范围从最简单的,它只是窃取用户的位置,到更复杂的,从自拍相机记录图像并引导选定的用户安装恶意 APK,即在 Android 上使用的应用程序,”安全研究人员 Felix Aimé 和 Maxime A 在周三的一份报告中说。

目标网站包括库尔德新闻和媒体、Rojava 政府及其武装部队、与土耳其和库尔德地区革命极左翼政党和组织相关的网站。Sekoia 告诉 The Hacker News,这些网站最初被入侵的确切方法仍不确定。

这些攻击尚未归因于任何已知的威胁行为者或实体,这表明出现了一个针对库尔德社区的新威胁集群,该集群之前曾被 StrongPity 和 BladeHawk 等组织挑出。

今年早些时候,荷兰安全公司Hunt & Hackett也透露,荷兰的库尔德网站被一个被称为Sea Turtle的土耳其-关系威胁行为者挑出来。

Watering Hole 攻击的特点是部署恶意 JavaScript,负责从网站访问者那里收集各种信息,包括他们的位置、设备数据(例如 CPU 数量、电池状态、浏览器语言等)和公共 IP 地址等。

在三个网站 (rojnews[.]新闻, HawarNews[.]com 和 targetPlatform[.]净。还观察到将用户重定向到流氓 Android APK 文件,而其他一些文件包括通过名为“sessionIdVal”的 cookie 进行用户跟踪的能力。

根据 Sekoia 的分析,Android 应用程序将网站本身嵌入为 WebView,同时还根据授予它的权限秘密地徘徊系统信息、联系人列表、位置和存在于外部存储中的文件。

“值得注意的是,这种恶意代码没有任何持久性机制,而仅在用户打开 RojNews 应用程序时执行,”研究人员指出。

“一旦用户打开应用程序,10 秒后,LocationHelper 服务就会开始向 URL rojnews[.] 发送信标。news/wp-includes/sitemaps/ 通过 HTTP POST 请求,共享用户的当前位置并等待命令执行。

关于 SilentSelfie 的幕后黑手知之甚少,但 Sekoia 根据 2023 年 10 月KDP 部队逮捕 RojNews 记者 Silêman Ehmed 的手笔,评估这可能是伊拉克库尔德斯坦地区政府的杰作。他于 2024 年 7 月被判处三年监禁。

研究人员说:“尽管这种水坑活动并不复杂,但它受影响的库尔德网站的数量及其持续时间是值得注意的。“该活动的复杂程度较低,这表明它可能是能力有限且对该领域相对较新的未被发现的威胁行为者所为。”

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/300519

安全客 - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
2黑客声称服务器遭到入侵德勤称敏感数据未受到威胁
3RECORDSTEALER恶意软件持续窃取敏感信息
0受害者因Google Play商店中的一个盗取钱包资金的应用程序而损失了7万美元
Next:
9CVE202451479 Next.js授权绕过漏洞影响数百万开发人员
7Meta 因 2018 年影响 2900 万账户的数据泄露事件被罚款 2.51 亿欧元
16Play 勒索软件声称 Krispy Kreme 泄露威胁数据泄露
11UAC0125 滥用 Cloudflare 工作者分发伪装成 Army+ 应用程序的恶意软件
5Earth Koshchei 的流氓 RDP 活动 针对政府和企业的复杂 APT 攻击
资源来自网络,仅供参考