黑客入侵ESET在以色列的独家合作伙伴,向以色列企业发送钓鱼邮件,推送伪装成防病毒软件的数据擦除器,进行破坏性攻击。
数据擦除器是一种恶意软件,它会故意删除计算机上的所有文件,并通常会删除或破坏分区表,使数据更难恢复。
在 10 月 8 日开始的网络钓鱼活动中,带有 ESET 徽标的电子邮件从合法的 eset.co.il 域发送,表明以色列分部的电子邮件服务器在攻击中遭到入侵。
虽然 eset.co.il 域名带有 ESET 的内容和标识,但 ESET 告诉 BleepingComputer,它由其以色列经销商 Comsecure 运营。
这些电子邮件假装来自“ESET 高级威胁防御团队”,警告客户政府支持的攻击者正试图攻击收件人的设备。为了帮助保护设备,ESET 提供了一种名为“ESET Unleashed”的更先进的防病毒工具来防御威胁。
攻击者的网络钓鱼电子邮件中写道:“您的设备已被列入目前受到国家支持的威胁行为者攻击的设备列表中。ESET 威胁情报部门获得的信息表明,一个出于地缘政治动机的威胁组织在发送此电子邮件后的 14 天内曾试图攻击您的设备。”
“作为 ESET 高级威胁防御计划 (ESET-ATD) 的一部分,ESET 为您提供 ESET Unleashed 程序的访问权限,该程序旨在对抗高级针对性威胁,您最多可以在 5 台设备上安装该程序。”
从受感染的 ESET 以色列电子邮件服务器发送的网络钓鱼电子邮件
为了进一步增加攻击的合法性,下载链接托管在 eset.co.il 域上,网址为 https://backend[.]store[.]eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zip
现在这些链接已被禁用。
此 ZIP 档案 [ VirusTotal ] 包含四个由 ESET 合法代码签名证书数字签名的 DLL 文件和一个未经签名的 Setup.exe。
这四个 DLL 是作为 ESET 防病毒软件的一部分分发的合法文件。然而,Setup.exe [ VirusTotal ] 是恶意数据擦除程序。
ESET Unleashed 档案包含数据擦除器
网络安全专家凯文·博蒙特 (Kevin Beaumont) 在物理电脑上运行该病毒时取得成功,他表示该病毒可以访问以色列合法新闻网站 www.oref.org.il。
“Setup.exe 是恶意的。它使用一系列明显的技术来试图逃避检测。”Beaumont 解释道。
“我只能让它在物理 PC 上正确引爆。它会调用各种明显恶意的东西,例如,它使用来自 Yanluowang 勒索/勒索软件组织的互斥锁。”
目前,尚不清楚有多少公司成为此次网络钓鱼活动的目标,也不清楚 ESET 的以色列经销商 Comsecure 是如何遭到入侵的。
虽然此次袭击并未被归咎于任何特定的威胁组织或黑客行动,但数据擦除器长期以来一直是针对以色列的攻击中常用的工具。
2017 年,在针对以色列组织的攻击中发现了一种名为IsraBye的反以色列和亲巴勒斯坦数据清除程序。
2023 年,以色列遭受了一波针对教育和技术部门等组织的 BiBi 擦除器攻击。
许多袭击都与伊朗威胁组织有关,他们的目标不是创造收入,而是制造混乱并扰乱以色列的经济。
新闻链接:
https://www.bleepingcomputer.com/news/security/eset-partner-breached-to-send-data-wipers-to-israeli-orgs/
