據(jù)BleepingComputer消息，有黑客入侵了 ESET 在以色列的獨(dú)家合作公司，并向以色列企業(yè)發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件，其中暗藏?cái)?shù)據(jù)擦除器以進(jìn)行系統(tǒng)破壞性攻擊。

據(jù)觀察，這一釣魚(yú)活動(dòng)從10月8日開(kāi)始，這些郵件帶有ESET 徽標(biāo)且從合法的 eset.co.il 域發(fā)送，表明以色列分部的電子郵件服務(wù)器在攻擊中遭到破壞，ESET 告訴 BleepingComputer，他們位于以色列的分銷商由Comsecure 運(yùn)營(yíng)。

這些電子郵件顯示來(lái)自ESET 高級(jí)威脅防御團(tuán)隊(duì)，警告收件企業(yè)由政府支持的攻擊者正試圖以他們的設(shè)備為目標(biāo)。為了幫助保護(hù)設(shè)備，ESET 提供了一個(gè)名為“ESET Unleashed”的更高級(jí)防病毒工具來(lái)抵御威脅。

釣魚(yú)郵件正文

從網(wǎng)絡(luò)釣魚(yú)電子郵件標(biāo)頭中，BleepingComputer 已確認(rèn)該電子郵件來(lái)自合法的郵件服務(wù)器 eset.co.il，并通過(guò)了 SPF、DKIM 和 DMARC 身份驗(yàn)證測(cè)試。為了進(jìn)一步增加攻擊的合法性，下載鏈接托管在 eset.co.il 域的 URL 上，目前已被禁用。

分析顯示釣魚(yú)郵件通過(guò)了身份驗(yàn)證檢查

下載的ZIP 存檔包含4個(gè)由 ESET 的合法代碼簽名證書(shū)進(jìn)行數(shù)字簽名的 DLL 文件和1個(gè)未簽名的 Setup.exe。這4個(gè) DLL 是作為 ESET 防病毒軟件的一部分分發(fā)的合法文件。但是Setup.exe 實(shí)為惡意數(shù)據(jù)擦除程序。

包含數(shù)據(jù)擦除器的 ESET Unleashed 文檔

BleepingComputer 嘗試在虛擬機(jī)上測(cè)試擦除器，但可執(zhí)行文件會(huì)自動(dòng)崩潰。網(wǎng)絡(luò)安全專家凱文-博蒙特（Kevin Beaumont）則在實(shí)體 PC 上成功運(yùn)行了該擦除器，他發(fā)現(xiàn)，該惡意程序使用了多種技術(shù)來(lái)規(guī)避安全檢測(cè)，并調(diào)用了各種惡意程序。

目前尚不清楚有多少以色列企業(yè)成為此網(wǎng)絡(luò)釣魚(yú)活動(dòng)的目標(biāo)，也不知道 ESET 的以色列分銷商 Comsecure 是如何被入侵的。

雖然這次攻擊沒(méi)有被歸咎于任何特定的黑客或組織，但數(shù)據(jù)擦除器長(zhǎng)期以來(lái)一直是攻擊以色列的流行工具。2017年，一個(gè)有反以色列和親巴勒斯坦背景的數(shù)據(jù)擦除器IsraBye在對(duì)以色列組織的攻擊中被發(fā)現(xiàn)；2023 年，以色列企業(yè)遭受了一波BiBi 擦除器攻擊，包括教育和技術(shù)部門。