作为旨在收集敏感信息的水坑攻击的一部分,多达 25 个与库尔德少数民族相关的网站遭到入侵,时间已超过一年半。
法国网络安全公司 Sekoia 披露了名为 SilentSelfie 的活动的细节,该公司将入侵集描述为长期持续,最早检测到感染迹象可追溯到 2022 年 12 月。
它补充说,战略性 Web 入侵旨在提供信息窃取框架的四种不同变体。
“这些范围从最简单的,它只是窃取用户的位置,到更复杂的,从自拍相机记录图像并引导选定的用户安装恶意 APK,即在 Android 上使用的应用程序,”安全研究人员 Felix Aimé 和 Maxime A 在周三的一份报告中说。
目标网站包括库尔德新闻和媒体、Rojava 政府及其武装部队、与土耳其和库尔德地区革命极左翼政党和组织相关的网站。Sekoia 告诉 The Hacker News,这些网站最初被入侵的确切方法仍不确定。
这些攻击尚未归因于任何已知的威胁行为者或实体,这表明出现了一个针对库尔德社区的新威胁集群,该集群之前曾被 StrongPity 和 BladeHawk 等组织挑出。
今年早些时候,荷兰安全公司Hunt & Hackett也透露,荷兰的库尔德网站被一个被称为Sea Turtle的土耳其-关系威胁行为者挑出来。
Watering Hole 攻击的特点是部署恶意 JavaScript,负责从网站访问者那里收集各种信息,包括他们的位置、设备数据(例如 CPU 数量、电池状态、浏览器语言等)和公共 IP 地址等。
在三个网站 (rojnews[.]新闻, HawarNews[.]com 和 targetPlatform[.]净。还观察到将用户重定向到流氓 Android APK 文件,而其他一些文件包括通过名为“sessionIdVal”的 cookie 进行用户跟踪的能力。
根据 Sekoia 的分析,Android 应用程序将网站本身嵌入为 WebView,同时还根据授予它的权限秘密地徘徊系统信息、联系人列表、位置和存在于外部存储中的文件。
“值得注意的是,这种恶意代码没有任何持久性机制,而仅在用户打开 RojNews 应用程序时执行,”研究人员指出。
“一旦用户打开应用程序,10 秒后,LocationHelper 服务就会开始向 URL rojnews[.] 发送信标。news/wp-includes/sitemaps/ 通过 HTTP POST 请求,共享用户的当前位置并等待命令执行。
关于 SilentSelfie 的幕后黑手知之甚少,但 Sekoia 根据 2023 年 10 月KDP 部队逮捕 RojNews 记者 Silêman Ehmed 的手笔,评估这可能是伊拉克库尔德斯坦地区政府的杰作。他于 2024 年 7 月被判处三年监禁。
研究人员说:“尽管这种水坑活动并不复杂,但它受影响的库尔德网站的数量及其持续时间是值得注意的。“该活动的复杂程度较低,这表明它可能是能力有限且对该领域相对较新的未被发现的威胁行为者所为。”