TTL OSINT

Молчаливое селфи: Разоблачение масштабной кампании по борьбе с курдскими сайтами

В феврале 2024 года была раскрыта хакерская кампания, нацеленная на курдские веб-сайты, в ходе которой было выявлено 25 скомпрометированных сайтов. Кампания, начавшаяся в конце 2022 года, использовала четыре различных варианта вредоносного скрипта для сбора информации от онлайн-посетителей. Скрипты, которые варьировались от простых до сложных, отслеживали местоположение пользователей, получали доступ к камерам для селфи и перенаправляли пользователей на веб-страницы для установки вредоносных APK-файлов. Кампания, которая продолжалась более года, прежде чем была замечена, уникальна из-за своего масштаба и отсутствия ссылок на известные способы проникновения. Операторы кампании, скорее всего, ранее неизвестны, а TTP, использованные при атаке, не соответствуют ни одному известному набору данных для взлома, действующему на Ближнем Востоке.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.sekoia.io/silentselfie-uncovering-a-major-watering-hole-campaign-against-kurdish-websites/

Примеры признаков компромисса:

• ronahi.video
• 170.75.161.102
• tev-dem.com
• 6c75d5f31fe386a1ec94b85cfb7f873b2e100062
• ronahi.net

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал