据BleepingComputer消息,有黑客入侵了 ESET 在以色列的独家合作公司,并向以色列企业发送网络钓鱼电子邮件,其中暗藏数据擦除器以进行系统破坏性攻击。
据观察,这一钓鱼活动从10月8日开始,这些邮件带有ESET 徽标且从合法的 eset.co.il 域发送,表明以色列分部的电子邮件服务器在攻击中遭到破坏,ESET 告诉 BleepingComputer,他们位于以色列的分销商由Comsecure 运营。
这些电子邮件显示来自ESET 高级威胁防御团队,警告收件企业由政府支持的攻击者正试图以他们的设备为目标。为了帮助保护设备,ESET 提供了一个名为“ESET Unleashed”的更高级防病毒工具来抵御威胁。
钓鱼邮件正文
从网络钓鱼电子邮件标头中,BleepingComputer 已确认该电子邮件来自合法的邮件服务器 eset.co.il,并通过了 SPF、DKIM 和 DMARC 身份验证测试。为了进一步增加攻击的合法性,下载链接托管在 eset.co.il 域的 URL 上,目前已被禁用。
分析显示钓鱼邮件通过了身份验证检查
下载的ZIP 存档包含4个由 ESET 的合法代码签名证书进行数字签名的 DLL 文件和1个未签名的 Setup.exe。这4个 DLL 是作为 ESET 防病毒软件的一部分分发的合法文件。但是Setup.exe 实为恶意数据擦除程序。
包含数据擦除器的 ESET Unleashed 文档
BleepingComputer 尝试在虚拟机上测试擦除器,但可执行文件会自动崩溃。网络安全专家凯文-博蒙特(Kevin Beaumont)则在实体 PC 上成功运行了该擦除器,他发现,该恶意程序使用了多种技术来规避安全检测,并调用了各种恶意程序。
目前尚不清楚有多少以色列企业成为此网络钓鱼活动的目标,也不知道 ESET 的以色列分销商 Comsecure 是如何被入侵的。
虽然这次攻击没有被归咎于任何特定的黑客或组织,但数据擦除器长期以来一直是攻击以色列的流行工具。2017年,一个有反以色列和亲巴勒斯坦背景的数据擦除器IsraBye在对以色列组织的攻击中被发现;2023 年,以色列企业遭受了一波BiBi 擦除器攻击,包括教育和技术部门。
参考来源: