ESET 的以色列合作伙伴 Comsecure 最近遭遇了一次入侵,导致其客户遭受到使用擦除恶意软件的钓鱼活动。
该活动利用被入侵的电子邮件基础设施,以 ESET 高级威胁防御团队的名义分发恶意下载。这些通过身份验证的电子邮件以国家支持的威胁为由诱骗收件人,引导他们下载伪装成合法安全工具的恶意软件。
今天早些时候,ESET Research 在 X 上的官方声明中披露了这一漏洞。虽然 ESET 强调该事件在十分钟内得到控制并且没有危及其系统,但此次漏洞影响了该公司的以色列合作伙伴。
这使得攻击者能够从看似合法的 ESET 域名(包括 [email protected])发送钓鱼电子邮件。这些电子邮件提醒收件人,他们的设备已成为政府支持的行为者的攻击目标,并提供了一个名为“ESET Unleashed”的所谓安全工具的下载链接。然而,这只是传播擦除器恶意软件的借口。
安全研究员Costin Raiu分析了此次攻击,并在社交媒体上分享了该恶意软件的详细信息。该恶意负载被标识为“EIW”(ESET Israel Wiper),具有政治动机。恶意软件中嵌入的一条消息警告 ESET“与占领者做生意”。擦除器的主要功能是不可逆地擦除数据,并且没有明显的恢复方法。
这些钓鱼邮件的主题是“政府支持的攻击者可能试图入侵您的设备!”,其风格看起来像是来自 ESET 高级威胁防御 (ATD) 团队的官方通讯。这些电子邮件包含一个 ZIP 文件的下载链接,该文件托管在 ESET Israel 的子域 (backend.store.eset.co.il) 上。ZIP 文件中有一个名为 setup.exe 的可执行文件,执行后会释放擦除器。
著名安全研究员 Kevin Beaumont 进一步分析了该恶意软件,并在自己的博客空间上发表了他的研究成果。据 Beaumont 称,此次攻击专门针对以色列境内的网络安全专业人员。作为其执行链的一部分,该擦除器还联系了合法的以色列组织 oref.org.il,这可能是一种通过将合法流量与恶意行为混合来逃避检测的技术。
ESET 在官方声明中向其全球客户群保证,此次入侵仅限于其以色列合作伙伴,ESET 自己的系统并未受到损害。该公司强调,其技术正在积极阻止威胁,受影响的客户是安全的。ESET 正在与其以色列合作伙伴密切合作,进一步调查此次入侵事件,同时监控是否有任何其他恶意活动。
尽管 ESET 淡化了事件的规模,但 Beaumont 和 Raiu 等第三方研究人员指出,钓鱼邮件成功绕过了 SPF 和 DKIM 检查,使其看起来合法。这表明攻击者可以访问 ESET Israel 的邮件服务器,这引发了人们对此次入侵深度的担忧。
影响和建议
ESET Israel 为各行各业的大量客户提供服务,包括个人用户和企业客户。此次网络钓鱼活动针对网络安全专业人士这一事实尤其令人担忧,因为这些用户通常在处理关键基础设施和数据的组织中担任敏感职位。
为了减轻风险并防止进一步损害,建议 ESET 客户(尤其是以色列的客户):
-
避免打开任何声称来自 ESET 以色列或包含下载链接的未经请求的电子邮件,特别是如果它们引用 ESET 的 ATD 程序。
-
通过官方渠道直接与 ESET 进行交叉核对,验证任何电子邮件通信。
-
避免从通过电子邮件发送的链接下载未知的 ZIP 文件或运行未经验证的可执行文件,尤其是来自最近受到攻击的域的链接。
-
使用更新的安全软件运行完整的系统扫描,以确保没有恶意软件感染。
-
更新事件响应程序和备份策略,为潜在的擦除器恶意软件事件做好准备,这些事件可能会导致不可逆转的数据丢失。
原文始发于微信公众号(网络研究观):ESET Israel 遭入侵:向客户发送 Wiper 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论